Negli ultimi giorni sono stati pubblicati parecchi articoli sul Web, che più o meno recitavano tutti così: "Attenti ad usare Zoom per le videoconferenze: ruba i vostri dati!".

Falso. Ma andiamo con ordine (e leggi il post fino alla fine!).

Cos'è "Zoom"?

E' un software, una applicazione che permette di "videochiamarsi" tra due o più utenti. Ovviamente il suo utilizzo è in qualche modo "esploso" ora che siamo tutti obbligati dalla quarantena a rimanere a casa.

La home page di Zoom

Ci sono molte applicazioni di questo tipo: Google Meets, Apple FaceTime, Microsoft Teams, StarLeaf, Cisco WebEx, GoToMeeting e via dicendo.

Zoom deve il suo successo ad alcuni motivi:

  • Semplicità di utilizzo
  • Buone performance
  • Ottimo "prezzo": fino a 100 partecipanti, max 40 minuti, gratis.

Zoom è gratis? Sì. Più o meno.

Prima considerazione: hai idea di cosa significhi realizzare una piattaforma di videoconferenza dal punto di vista dello sviluppo, infrastrutture, risorse? Ma soprattutto fare in modo che funzioni e bene: è un'impresa che richiede investimenti molto elevati e competenze di alto livello.

Tu lo fareste gratis? Io no.

Ecco, il modello di business di Zoom, prevede invece di far "provare" ai potenziali clienti la propria piattaforma gratis, con la speranza che poi vogliano passare alla versione a pagamento. Si chiama Freemium, è un modello di business oramai consolidato. E nel caso di Zoom sembra funzionare parecchio bene.

Lasciamo da parte ora questa considerazione, la riprendo più avanti.

"Zoom ruba i tuoi dati!"

Questi sono una parte degli articoli usciti negli ultimi giorni:

Alcuni degli articoli prendono spunto da una "ricerca" pubblicata da Vice dove il ricercatore Will Strafach sostiene di aver scoperto che l'App iOS (solo quella e non l'app per Desktop) invia "alcuni dati" a Facebook, senza l'autorizzazione dell'utente.  

E' vero. Ma prima di gridare allo scandalo, ragioniamo assieme.

Premessa: internet, privacy e sicurezza.

1) Non esistono sistemi sicuri al 100%. Tutti sono vulnerabili.

2) I dati sono il "nuovo petrolio", hanno un valore concreto e misurabile.

3) Non esiste più - salvo alcuni casi di nicchia - la privacy degli utenti nell'era di internet: è necessario scendere a compromessi, in funzione delle proprie esigenze e necessità.

Oggi essere "anonimi" in rete è quasi un'utopia: chi ha questa necessità, penso ad esempio a giornalisti, informatori, forze dell'ordine, deve mettere in campo sistemi e modalità di utilizzo degli stessi, che richiedono un effort elevato.

L'utente "medio" non può fare altro che adattarsi, scegliere (quando può) sistemi che ritiene più il linea con le proprie esigenze, ma soprattutto deve aggiornarsi, tenersi informato.

E non è facile, perché poi spesso si trovano notizie che non corrispondono alla realtà, o che la alterano molto, troppo

Zoom: la verità, punto per punto.

Vediamo cosa è stato detto e scritto di Zoom:

L'app iOS di Zoom invia dati a Facebook, anche se non hai un account Facebook.

Quello che sembra sia accaduto - scrivo "sembra" perché l'autore dell'articolo non ha pubblicato una evidenza tecnica o un PoC di quanto ha scoperto (peccato) - è che una volta aperta l'App su iOS, questa inviasse a Facebook alcuni dati come: modello del telefono, data e ora di apertura dell'app, luogo, operatore telefonico ed altro.

Il tutto era "legato" ad un identificativo pubblicitario univoco: in parole semplici, l'App "diceva" a Facebook che un determinato terminale aveva usato l'app. Perché? Beh, certamente queste informazioni diventano importanti quando si crea una campagna pubblicitaria.

Ti ricordi quando poco fa parlavo del modello di business di Zoom, il modello Freemium? Su questo si basa. Io ti fornisco un servizio gratis, raccolgo dati sul tuo utilizzo, e poi ti invito ad usarlo a pagamento.

Parlo al passato perché Zoom, dopo aver letto la critica che gli era stata rivolta, ha aggiornato la propria App iOS, facendo in modo che "nessuna" informazione sull'utilizzo venga passata al Social Network.

27 Marzo 2020: l'app di Zoom per iOS aggiornata: "Improvements to Facebook Login"

Faccio notare comunque che fino anche non viene svolta una analisi tecnica, non possiamo sapere se e quali dati sono condivisi. Aggiungo anche che, considerato l'aggiornamento, è palese che Zoom abbia fatto un (grosso) errore. In malafede? Può essere, ma non ne sono convito del tutto (e fino a che non ci sono evidenze tecniche, non possiamo saperlo).

Zoom fa la "spia" se ci si distrae nel corso di un meeting!

Sì, vero. C'è una funzione in Zoom che si chiama "Attention Tracking" che permette di "capire" (con un margine di errore abbastanza ampio) se il partecipante è attento o no.

L'opzione selezionabile dall'Admin

Quello che non capisco è: perché una cosa del genere dovrebbe fare così scalpore?? Altre piattaforme la implementano da tempo. Un esempio?

Cisco Webex, leader nei servizi di videoconferenza soprattutto nel mondo Business, ha il suo Track Participant Attention: perché nessuno ha mai gridato allo scandalo mentre per Zoom si scrive tanto?

Zoom ruba tutti i nostri dati: IP, email, contatti, rubrica, e qualsiasi cosa trova sul PC!

"La voracità di Zoom fa sì che, dopo aver schedato i riferimenti personali dell’utente e il relativo numero IP, vengano addentate le informazioni custodite nella rubrica: nomi e cognomi, indirizzi di casa/ufficio/email, numeri di telefono, riferimenti professionali e dettagli privati vengono acquisiti anche se l’utente è fruitore occasionale del servizio e non ha registrato un suo account su Zoom. Allo stesso tempo verranno morsicati i dati memorizzati sull’apparato e – se l’accesso alle funzionalità della “app” è avvenuto con il profilo Facebook – tutti quelli presenti nelle proprie pagine del social in argomento. Non è finita. Zoom è insaziabile e fagocita qualunque altra informazione venga caricata, fornita o creata durante il suo utilizzo. La quasi totalità delle informazioni viene divorata automaticamente da Zoom, ma altri elementi vengono forniti dall’utente al momento dell’accesso (come ad esempio l’indirizzo e-mail indispensabile per partecipare ad una chiamata online)."

Quanto esposto sopra è in parte vero (ad esempio il numero IP) in parte no: i contatti della nostra rubrica non vengono caricati da Zoom se non siamo noi a farlo.

Inoltre - aspetto importante - è possibile partecipare a Zoom in modo "anonimo" (ovvero fornendo inconsapevolmente solo i dati del device) e senza lasciare la propria email.

Una precisazione sull'indirizzo IP. Come probabilmente sai, l'indirizzo IP è quel numero che identifica il tuo "collegamento" alla rete in modo univoco.

Ma perché ci si deve gridare allo scandalo se un servizio come Zoom conosce il nostro indirizzo IP?

Lo sai vero che quando tu scrivi una email, chi la riceve può scoprire il tuo indirizzo IP?

Lo sai che quando ti colleghi ad un sito internet (come questo) è possibile sapere da quale indirizzo IP lo stai facendo?

Zoom registra i video dei meeting!

Anche qui, una novità, no?! Tutte le piattaforme di videostreaming permettono di registrare le sessioni.

Quale sarebbe il problema? Tra l'altro, i partecipanti sono al corrente di questa operazione perché gli compare un messaggio o una notifica.

Altra questione sarebbe se la cosa non fosse notificata, ma non è il caso di Zoom.

La Policy Privacy di Zoom è scandalosa! Gli permette di fare qualsiasi cosa con i tuoi dati!

Già. Ma dove è la notizia? La Policy Privacy di Zoom è in "linea" con molte policy privacy di altre applicazioni, ovvero dice tutto e niente.

Questo sì che un problema. Ma non è un problema solo di Zoom. Qualche esempio?

Avete mail letto la policy privacy di Microsoft? La trovi qui, ti riassumo i punti più interessanti.

"Microsoft condivide i dati personali con il consenso dell’utente o per completare transazioni o fornire un prodotto richiesto o autorizzato dall’utente. Microsoft inoltre condivide dati con società affiliate e filiali controllate da Microsoft, con fornitori che lavorano per suo conto, se richiesto dalla legge o in risposta a procedimenti legali, per proteggere i propri clienti, per proteggere vite umane, per mantenere la sicurezza dei prodotti Microsoft e per proteggere i diritti e la proprietà di Microsoft e dei clienti.
Quali tipi di dati raccoglie Microsoft? Microsoft raccoglie i dati necessari per migliorare l’esperienza degli utenti. A tale scopo, Microsoft tratta i dati raccolti per fornire e migliorare i prodotti, i servizi e i dispositivi con l’obiettivo di offrire agli utenti esperienze personalizzate e contribuire alla loro sicurezza. Queste sono le categorie di dati più comuni raccolte: Esplorazione del Web e ricerche online, Posizione Geografica, dati usati per visualizzare annunci pubblicitari più interessanti, dati di pagamento, etc

Hai un iPhone? Bene, ecco Apple:

I dati personali sono le informazioni che possono essere utilizzate per identificare un individuo o per contattarlo. Potrebbe esserti richiesto di fornire i tuoi dati personali ogni volta che entri in contatto con Apple o con una società affiliata ad Apple. Apple e le sue affiliate possono condividere questi dati tra di loro e utilizzarli conformemente alla presente Politica sulla privacy. Possono anche combinarli con altri dati per fornire e migliorare prodotti, servizi, contenuti e materiali pubblicitari. Non sei tenuto a fornire i dati personali da noi richiesti; se decidi di non fornirli, tuttavia, in molti casi non potremo offrirti i nostri prodotti o servizi oppure rispondere alle tue domande.

La cosa "interessante" di questi esempi è che se non si autorizza la raccolta dati, non puoi usare il servizio.

Non voglio dire che "visto che lo fanno tutti, allora non è un problema". Voglio dire che, sì lo fanno tutti: e di questo che dobbiamo prendere atto.

Conclusioni.

Perché ho scritto questo post? Perché non mi piacciono queste "crociate" che hanno spesso il fine di attirare l'attenzione ma rischiano - a mio avviso - di creare confusione nei lettori, al pari delle fake news.

Vi ricordate qualche mese fa tutto il rumore attorno a FaceApp?

Certo, si può anche pensare che tale rumors sia volontario, una creativa mossa di marketing: non è da escludere. Oppure che sia un ingenuo modo per tentare di bloccare il "successo" di un servizio/app?

Non lo so.

Il problema che vedo è che il tema della consapevolezza dei rischi legati all'uso delle tecnologie è molto delicato e va affrontato a mio avviso con la giusta "freddezza", senza ricorrere - se non è il caso - ad inutili e controproducenti allarmismi.

Allo stesso modo quando si parla di Privacy bisogna prendere atto della realtà: oggi è possibile - come dicevo prima - essere anonimi in rete, non al 100%, ma almeno prendere precauzioni: utilizzare VPN, servizi email cifrati, software in cloud privati, applicazioni e smartphone con sistemi operativi open source personalizzati.

Ma tutto questo ha un senso? Certamente sì per chi svolge attività a rischio, come ad esempio giornalismo investigativo, governi o attività commerciali con un rischio elevato di compromissione del proprio core business.

Ma se poi alla fine devo usare WhatsApp per rispondere al gruppo della scuola del figlio? Il rischio è di gridare "al lupo al lupo" quando poi il lupo è già in casa nostra.

Quando parlo di "accettare un compromesso per la nostra Privacy" intendo proprio questo: internet è costruita per condividere e tracciare. E' molto più facile e redditizio costruire applicazioni che raccolgono informazioni ed in qualche modo le rivendono: ti ricordi lo scandalo di Cambridge Analytica?

Credo quindi che la strada da seguire sia una sana informazione e formazione: una "via di mezzo" che ci permetta di usare le tecnologie attuali con la giusta consapevolezza. La strada più difficile, ovviamente.

Perché oggi è indispensabile spiegare alla casalinga di Voghera cosa può fare con il suo smartphone ma soprattutto come. Che se riceve un SMS dalla banca non deve cliccare subito sul link. Che prima di condividere una notizia su Facebook magari è meglio fare una telefonata a qualcuno per confrontarsi.

E che se riceve un invito per una videochiamata su Zoom, può accettarlo e iniziare a parlare.

Io Zoom lo uso da quando ho creato una serie di appuntamenti online, i #virtualcaffe: se ti interessa sapere cos'è, clicca qui