Dietro la popolare app che invecchia il viso c’è una società russa, con server negli Usa e poche informazioni su come userà i dati. La privacy non rispetta il Gdpr. Dal vip al vicino di casa, sembra che la tentazione di condividere un nostro selfie con il filtro “nonno” sia irresistibile. Sui social network è montata in pochi giorni la Faceapp Challenge, complici le nuove funzioni di Faceapp, un’applicazione per modificare i tratti del viso, tornata alla ribalta per via del filtro che invecchia. L’intelligenza artificiale modifica i tratti del volto in modo sorprendentemente naturale. Circa 80 milioni di persone hanno già scaricato il programmino dal debutto a gennaio 2017. L’uso che Faceapp fa di dati e foto, però, non è chiaro e i documenti ufficiali, sulla privacy e sulle condizioni d’uso, lasciano molti punti interrogativi.Dove vanno a finire le foto. Quando elaborate un selfie con Faceapp, questo passa dai server dell’azienda, la russa Wireless Lab OOO, sede a San Pietroburgo. “Per generare questi filtri, come la faccia che invecchia, si usano reti neurali generative avversarie, che devono girare su computer potenti”, commenta a Wired Luca Sambucci, esperto di Eset, società di sicurezza informatica. La potenza di calcolo di uno smartphone, insomma, non basta. La prova del nove? “Se sei in modalità aereo, la app non funziona e ti segnala di collegarti a internet. Dimostra che l’immagine va sul loro server”, prosegue Sambucci.
E su questi server le foto restano archiviate per un tempo indefinito, potenzialmente per sempre, perché la società, fondata e diretta da Yaroslav Goncharov, studi all’università di San Pietroburgo e un passato in Yandex (motore di ricerca russo), non si cura di dichiarare per quanto tempo le conserverà. Né dove. I dati “potranno essere archiviati e lavorati negli Stati Uniti o in qualsiasi altro paese in cui Faceapp, i suoi affiliati (altre aziende del gruppo, ndr) o i fornitori del servizio possiedono le infrastrutture”, si legge nella privacy policy.
Faceapp dichiara di avere base negli Stati Uniti. Su Google Play si fa riferimento a un indirizzo a Wilmington, città del Delaware (considerato uno dei paradisi fiscali Usa), dove la società immobiliare Regus appoggia “uffici virtuali” per aziende straniere che vogliono mettere piede nel continente americano. A occhio, senza avere una vera scrivania là, ma solo una casella di posta. Per la società di analisi di mercato Sensor Tower, solo a giugno 2019 Faceapp è stata scaricata 400mila volte e ha generatointroiti per 300mila dollari.
In barba alle regole europee. Se i server fossero davvero negli Stati Uniti, Faceapp si dovrebbe premurare di ricordare che partecipa alPrivacy Shield, ossia l’accordo tra Washington e l’Unione europea per tutelare anche oltreoceano i dati dei cittadini europei secondo le norme del Gdpr(il regolamento comunitario sui dati personali). Ma non c’è nessun cenno, quindi zero garanzie per i cittadini europei che avessero reclami da fare.
Più in generale sembra che dalle parti di San Pietroburgo non si siano accorti che il Gdpr è entrato in vigore il 25 maggio 2018. “Il regolamento ha un’applicabilità particolare: se è presumibile che il servizio sia offerto sul territorio europeo, si applica”, spiega a Wired Ivo Tarantino, portavoce dell’associazione di consumatori Altroconsumo. Il trattamento privacy di Faceapp, però, è fermo al 20 gennaio 2017. “E non l’hanno cambiato di una virgola”, osserva Sambucci.
Di fatto, quindi, viola l’articolo 3 del Gdpr, che, come ricorda l’avvocato Giovanni Battista Gallus, esperto di privacy, “prevede l’estensione del regolamento anche a quei trattamenti effettuati da un titolare non stabilito nell’Unione, che pero riguardi l’offerta di beni o servizi agli interessati che si trovano nell’Unione, o che monitori il loro comportamento”.
Dietro la popolare app che invecchia il viso c’è una società russa, con server negli Usa e poche informazioni su come userà i dati. La privacy non rispetta il Gdpr.Putin su Faceapp
Dal vip al vicino di casa, sembra che la tentazione di condividere un nostro selfie con il filtro “nonno” sia irresistibile. Sui social network è montata in pochi giorni la Faceapp Challenge, complici le nuove funzioni di Faceapp, un’applicazione per modificare i tratti del viso, tornata alla ribalta per via del filtro che invecchia. L’intelligenza artificiale modifica i tratti del volto in modo sorprendentemente naturale. Circa 80 milioni di persone hanno già scaricato il programmino dal debutto a gennaio 2017. L’uso che Faceapp fa di dati e foto, però, non è chiaro e i documenti ufficiali, sulla privacy e sulle condizioni d’uso, lasciano molti punti interrogativi.
Dove vanno a finire le fotoQuando elaborate un selfie con Faceapp, questo passa dai server dell’azienda, la russa Wireless Lab OOO, sede a San Pietroburgo. “Per generare questi filtri, come la faccia che invecchia, si usano reti neurali generative avversarie, che devono girare su computer potenti”, commenta a Wired Luca Sambucci, esperto di Eset, società di sicurezza informatica. La potenza di calcolo di uno smartphone, insomma, non basta. La prova del nove? “Se sei in modalità aereo, la app non funziona e ti segnala di collegarti a internet. Dimostra che l’immagine va sul loro server”, prosegue Sambucci.
E su questi server le foto restano archiviate per un tempo indefinito, potenzialmente per sempre, perché la società, fondata e diretta da Yaroslav Goncharov, studi all’università di San Pietroburgo e un passato in Yandex (motore di ricerca russo), non si cura di dichiarare per quanto tempo le conserverà. Né dove. I dati “potranno essere archiviati e lavorati negli Stati Uniti o in qualsiasi altro paese in cui Faceapp, i suoi affiliati (altre aziende del gruppo, ndr) o i fornitori del servizio possiedono le infrastrutture”, si legge nella privacy policy.
Faceapp dichiara di avere base negli Stati Uniti. Su Google Play si fa riferimento a un indirizzo a Wilmington, città del Delaware (considerato uno dei paradisi fiscali Usa), dove la società immobiliare Regus appoggia “uffici virtuali” per aziende straniere che vogliono mettere piede nel continente americano. A occhio, senza avere una vera scrivania là, ma solo una casella di posta. Per la società di analisi di mercato Sensor Tower, solo a giugno 2019 Faceapp è stata scaricata 400mila volte e ha generatointroiti per 300mila dollari.
In barba alle regole europee. Se i server fossero davvero negli Stati Uniti, Faceapp si dovrebbe premurare di ricordare che partecipa alPrivacy Shield, ossia l’accordo tra Washington e l’Unione europea per tutelare anche oltreoceano i dati dei cittadini europei secondo le norme del Gdpr(il regolamento comunitario sui dati personali). Ma non c’è nessun cenno, quindi zero garanzie per i cittadini europei che avessero reclami da fare.
Più in generale sembra che dalle parti di San Pietroburgo non si siano accorti che il Gdpr è entrato in vigore il 25 maggio 2018. “Il regolamento ha un’applicabilità particolare: se è presumibile che il servizio sia offerto sul territorio europeo, si applica”, spiega a Wired Ivo Tarantino, portavoce dell’associazione di consumatori Altroconsumo. Il trattamento privacy di Faceapp, però, è fermo al 20 gennaio 2017. “E non l’hanno cambiato di una virgola”, osserva Sambucci.
Di fatto, quindi, viola l’articolo 3 del Gdpr, che, come ricorda l’avvocato Giovanni Battista Gallus, esperto di privacy, “prevede l’estensione del regolamento anche a quei trattamenti effettuati da un titolare non stabilito nell’Unione, che pero riguardi l’offerta di beni o servizi agli interessati che si trovano nell’Unione, o che monitori il loro comportamento”.
L’indirizzo della sede di Faceapp nel Delaware
Buchi di informazioneI riferimenti sulla privacy, poi, sono scarni. “Tra le cose più evidenti non si comprende in che misura e tra quali società i dati vengono condivisi(riferimento ad un gruppo) e non si comprende dove sono conservati”, osserva Giovanna Boschetti, legale esperta in privacy dello studio Cba.
Wireless Lab OOO raccoglie molti dati. Non accede solo alle foto dell’utente che ha scaricato la app, ma anche ai file multimediali di Whatsapp, precisano da Altroconsumo, con il potenziale rischio di salvare foto e informazioni anche di persone che non hanno la app.
Poi raccoglie dati sulle pagine web visitate, inserisce web beacon (piccole immagini in genere di 1 pixel per 1, per monitorare il comportamento di una persona che naviga sul web), file di log, dati sul dispositivo da cui si collega. “A un certo si parla anche di dati di localizzazione”, spiegano da Altroconsumo. E non c’è modo di rifiutare questi trattamenti, perché quando si scarica la app o si accede, non viene richiesto il consenso. Il sì è dato per scontato.
Faceapp condivide poi tutte le informazioni con quelli che definisce “affiliati” e “fornitori del servizio”, quindi altre aziende del gruppo russo o terze parti, per “sviluppare nuovi prodotti e funzioni”, “monitorare le metriche”, “fornire contenuti personalizzati”. Ma non è dato sapere chi siano questi soggetti, con cui l’azienda scambia dati. O a cui potrebbe venderli o trasferirli, se fallisse o chiudesse. “Questi affiliati rispetteranno le scelte che fai su chi può vedere le tue foto”, scrive Faceapp. Peccato che non sia mai stato chiesto da nessuna parte.
“Poiché vi è con tutta probabilità anche un trattamento di dati biometrici, occorrerebbe il consenso libero, specifico e esplicito – osserva Gallus -. In altre parole, mi devono essere esposte in maniera chiara e puntuale le finalità del trattamento, e io devo acconsentire in maniera esplicita. Ho provato a installare la app, e non solo non chiede alcun consenso, ma non sottopone, all’installazione, alcuna privacy policy. L’unico “consenso” che chiede, una volta installata, è quello tecnico, per accedere alle immagini e alla fotocamera. Ma questo non è affatto un consenso esplicito, meno che mai idoneo per gli (eventuali) trattamenti di dati biometrici”.
Faceapp non funziona se sei offline
Dati sui minori. L’unica categoria per chi si può chiedere la rimozione delle foto, è quella dei bambini sotto i 13 anni, ma solo “la raccolta è avvenuta senza il consenso dei genitori”. “Ma quanto ti iscrivi o logghi, la app non ti chiede se hai più di 13 anni – osserva Tarantino -. E comunque il Gdpr dice che è vietato il trattamento dei dati dei minori sotto i 16 anni”. In Italia sotto i 14 anni.
Altroconsumo spedirà una segnalazione al garante della privacy su Faceapp, per chiedere, spiega Tarantino, “se ci sono i margini per una diffida a Wireless Lab OOO, se ci sono profili di responsabilità degli app store e sulla condivisione di informazioni anche di chi non ha dato il consenso”. Intelligenza artificiale. L’impressione è che il gruppo russo stia archiviando uno dei più ricchi e puliti dataset di volti al mondoper allenare l’intelligenza artificiale al riconoscimento facciale, con procedure opache. Proprio la creazione di dataset abbastanza ampi e strutturati è uno dei problemi che affligge chi vuole allenare le reti neurali e l’archivio sui server di Faceapp prospetta usi ben più complessi, e invadenti, di un selfie con i capelli bianchi.