{{feedLink}}

Habemus Papam... ma resta la vergogna del Fantapapa.

Dati personali Christian Bernieri - Tempo di lettura: 10 min.
(Aggiornato il )
Christ Unlimited
Christ Unlimited Ispirato a Stanley Kubrick - Arancia Meccanica. Art by Herman Makkink

Non penso che esista qualcosa di leggero o pesante, grande o piccolo, luminoso o oscuro in sé. Occorre un elemento di paragone per definirsi e definire ciò che osserviamo.

A volte, il termine di paragone è la legge e questo ci permettere di distinguere i buoni dai cattivi senza essere condizionati da opinioni e punti di vista soggettivi, allontanandosi dalle tifoserie.

Per questa ragione, a beneficio di tutti, oggi vorrei stabilire dei benchmark, un elemento di riferimento per consentire un giudizio su ciò che verrà. Nei giorni scorsi ho individuato un esempio virtuoso, un modello di riferimento da imitare: il sito ransomNews.online... mai visto un sito migliore sotto il profilo della protezione dei dati personali.

Oggi esploriamo l'altro estremo della scala: il fondo del barile, il peggio del peggio, sperando di non incontrare mai qualcosa che sposti l'asticella ulteriormente verso il basso.

 

Fantapapa

Una idea goliardica, un bel giochino divertente, per carità, peccato che, nonostante le innocenti intenzioni, rischi di diventare un incubo sia per gli ideatori che per i partecipanti.

Agli occhi di un DPO, un programmatore che si inventa un giochino per divertire e, incidentalmente, ci paizza dentro una raccolta massiva di indirizzi email, obbligatoria per poter partecipare, smette di essere un simpatico gaglioffo e diventa qualcosa di molto meno simpatico e molto meno innocuo. Ho provato a spiegare il problema direttamente agli autori ma uno dei due, non capendo, si è arrabbiato, mentre l'altro ha fatto finta di non capire, almeno, spero stesse fingendo.

Dato che con loro ho ottenuto scarsissimi risultati, provo a spiegarlo al resto del mondo.

 

Cosa prevede il GDPR? Tante cose, sicuramente molto complicate e demotivanti per chi ha un altro mestiere nelle mani, tuttavia, vedendole nel dettaglio una per una, si scopre che sono richieste molto logiche, ragionevoli, condivisibili e persino convenienti.

Intanto, la prima grande e meravigliosa scoperta consiste in questo: anche se sei piccolo piccolo e stai solo giocando, se decidi di pubblicare un sito che raccoglie dati personali, sei un titolare del trattamento e devi applicare il GDPR, esattamente come devono fare Amazon, Sky e Trenitalia. 

Detto questo, si procede. Volendo mettere in ordine cronologico i vari adempimenti, il primo (e spesso unico) che si deve prendere in considerazione è questo: decidi cosa vuoi fare, dopodiché organizzati per trattare solo i dati che ti servono per raggiungere quello scopo. Più o meno, è la sintesi dell'art. 5.c ossia del principio di "minimizzazione dei dati".

Il principio di minimizzazione del dato vincola chiunque alle proprie reali intenzioni, esige consapevolezza, trasparenza e, di fatto, chiede onestà. Non è una regola penalizzante o limitante, semplicemente funge da setaccio e fa emergere il marcio.

Solo chi è in malafede corre il rischio di violare questo principio, oppure è un monumentale imbecille che, semplicemente, non sa quello che sta facendo. Non ci sono altre possibilità. Il "finto tonto" rientra nella prima casistica, il "bimbominchia" rientra nella seconda.

Violare questo principio sarebbe possibile se, per esempio, un programmatore, anziché realizzare un simpatico giochino, in realtà stesse mistificando e camuffando una raccolta dati con l'idea di farci altre cose, non dichiarate e non necessarie, magari remunerative o semplicemente malvagie. Chiunque non abbia tali intenzioni, ha interesse ad evitare l'impiccio di dati superflui che non gli serviranno a nulla. Semplice e ineccepibile. Come spesso capita, le persone intelligenti regolano i propri comportamenti sulla base di questo principio in modo spontaneo. Per gli altri, interviene la legge rendendolo obbligatorio.

La questione si complica se si pensa ad un programmatore che, anziché creare codice pulito, leggero e veloce, per incapacità, genera un carrozzone pomposo e tracotante di informazioni inutili, sporco e costellato di routine superflue, che fa scempio di risorse e di energia. Un modello.... anzi, un termine di paragone.

Violare il principio di minimizzazione è, di fatto, un errore da incompetenti oppure un'azione torbida, se non addirittura malvagia.

 

Andando un pò più sul pratico, vediamo cosa accade su Fantapapa.

Per giocare viene richiesta una email di cui si abbia la disponibilità e occorre verificarla cliccando sul link di conferma che viene inviato all'indirizzo dichiarato.

Questa semplice azione permette di raggranellare una miriade di dati sull'utente, molti di più di quelli che l'utente ha la consapevolezza di conferire: email, datore di lavoro (se un utente usa la mail aziendale), reale identità (se usa una mail su un proprio dominio), altre interazioni tratte dal web (se l'email è usata in altri contesti), sistema utilizzato, indirizzo ip, posizione geografica, clienti di posta, ecc. tutte informazioni che servono per giocare al fantapapa quanto una forchetta per il brodo: perfettamente inutili.

Oltre a questo, le iscrizioni confluiscono in un grande database che dovrà essere ben protetto perché costituisce in sé un rischio. Oltre alle email sono memorizzate le password, o meglio, l'hash delle password, ma questo non aiuta granché perché con le rainbowtable è facile decifrare le password più comuni e ottenere un ulteriore informazione: il criterio di generazione delle password di un certo utente... cosa che tenderà a replicare su vari siti e vari altri luoghi del web.

 

Login al primo accesso su fantapapa
Login di primo accesso su Fantapapa

 

Tutto questo perché? Cui prodest?

A detta degli sviluppatori, la username e la mail servono per permettere agli utenti di recuperare la password qualora venga perduta. Un mirabile esempio di tautologia: devi creare delle credenziali per essere in gradi di recuperare le credenziali qualora vengano perdute, una profezia auto-avverante, un riferimento circolare, un "perchè si" degno di un bambino di età prescolare. Geniale!   Ammetto che dopo questa spiegazione ho iniziato a pensare che lo sviluppatore possa non essere in malafede.

 

Tornando alla norma, il GDPR ci suggerisce approcci razionali che dovrebbero guidare le scelte in contesti simili, nel tentativo di evitare errori marchiani: dopo aver minimizzato i dati, le misure di sicurezza devono essere predispsote in modo adeguato al trattamento. 

Fantapapa ha deciso di ignorare i buoni consigli del legislatore, mettendosi, di fatto, in una pessima situazione. Questo suggerimento del GDPR marca la differenza tra l'area utente di un e-commerce, che certamente merita username e password, e un semplice giochino che dovrebbe essere utilizzabile in modo anonimo o pseudonimo come fantapapa o slither.io.

Ho citato Slither perchè è un giochino simpatico e molto noto, uno dei peggiori sotto il profilo della protezione dei dati personali, pieno zeppo di tracker, che gira in http, un furfante del web che, tuttavia, non si azzarda a chiedere l'email all'utente e, sicuramente, non accumula gli indirizzi dei giocatori in un database. Se il peggiore di tutti ha scelto di non raccogliere gli indirizzi email, come dovremmo qualificare un progetto amatoriale che ha deciso di surclassare il campione?

Volendo per um momento ignorare l'approccio concettuale e legale, si potrebbe prendere in considerazione l'atto pratico: l'autenticazione con email su fantapapa non serve a una beata fava. Sul sito sono implementate tecnologie per identificare un utente che torna su un sito: i cookie, il local storage, tanto per citare le più note. Lo sviluppatore di fantapapa lo sa bene perché le ha implementato una tecnologia che permette all'utente di essere riconosciuto dal sistema ad ogni ritorno sul sito e chiunque può verificarlo. Mi sono registrato al sito con una delle tante email temporanee  (non ci penso nemmeno a dare la mia email reale al primo che passa) e fantapapa mi riconosce benissimo ad ogni accesso, anche a distanza di mesi, senza dover inserire alcuna password, persino chiudendo e riaprendo il browser e persino cancellando i cookie. L'applicazione (che funziona in locale) non ha bisogno di username né tantomeno di password.

L'assurda decisione di racimolare indirizzi email diventa un problema: in presenza di questa tecnologia, imporre una username, una password e, soprattutto, una email di recupero diventa difficile da giustificare. Di sicuro non è più sostenibile il concetto di "necessità".

 

Fantapapa non chiede alcuna password per gli utenti di ritorno, bastano gli identificatori salvati nel browser.

 

In ogni caso possiamo anche ammetterlo: se un utente perdesse l'accesso al suo fantapapa, per esempio cambiando computer, quale potrebbe essere il problema? Non sarebbe come perdere l'accesso all'home-banking oppure al portale di Steam. Forse non c'è mai stata una vera ragione per implementare una autenticazione basata su email verificata e password, a meno che non si desideri sgraffignare un database di email verificate.

Ce n'est pas grave... Morto un Papa se ne fa un altro.

 

Sorvolo sui grossolani errori di implementazione perché non sono un programmatore, come non lo è lo sviluppatore di fantapapa, del resto. Se lo fosse, mai e poi mai avrebbe utilizzato i google font con chiamata dal server google, una leggerezza imperdonabile per chi è responsabile della condivisione non consensuale di tutti questi dati verso terzi. 

 

Concludo con un pensiero dedicato agli utenti del web, una riflessione che risulterà piuttosto ostica agli sviluppatori di fantapapa: a prescindere da tutte le argomentazioni tecniche e legali,  nel fantapapa c'è un problema di fondo che dovrebbe allarmare tutti, GarantePrivacy compreso: la normalizzazione di comportamenti errati e pericolosi.

 

Non si può considerare normale condividere la propria email con il primo che passa.

Non si può condividere dati personali per usare un giochino divertente.

Non si può ritenere normale una richiesta indecente, nemmeno se fatta in allegria.

 

Ogni utente del web dovrebbe ritenersi offeso da fantapapa per il solo fatto che pretenda una email verificata per accedere. Ogni utente del web dovrebbe rifiutare di condividere i propri dati personali senza una ragione, anche a costo di non usare fantapapa.

Chi vuole comunque giocare a tutti i costi, nonostante le evidenti magagne, dovrebbe farlo proteggendosi e difendendosi da questa che, ai miei occhi, appare come una violenza: dovrebbe registrarsi con dati falsi oppure, come ho fatto io, utilizzando email temporanee. Chi si è già registrato dovrebbe scrivere a fantapapa.org@gmail.com chiedendo la cancellazione immediata dei dati illecitamente acquisiti a seguito di iscrizione e, con l'occasione, chiedere perché, a distanza di due mesi, i dati siano ancora li.

 

P.S.: La prossima volta che sentirò qualcuno lamentarsi dello spam e dei callcenter chiederò: "hai giocato al fantapapa?" Se risponderà di si, aggiungerò "bravo pirla!"

 

P.P.S.: A corredo, qui è disponibile la seconda ed emendata versione della porcheria che su fantapapa hanno chiamato informativa privacy. La prima versione è meglio che svanisca nel buoi dell'oblio.

 

P.P.P.S... all'alba del 8 Luglio, due mesi dopo la consacrazione del nuovo Papa, si fa fatica a pensare che esista una ragione per mantenere online i dati raccolti. Eppure sono ancora li. È ragionevole che tutte queste email collezionate, dichiaratamente funzionali al bel giochino, esistano ancora, presenti online come se niente fosse, esposte ad ogni rischio di abuso o furto? Eppure, stando alle dichiarazioni iniziali dell'autore, i dati sarebbero dovuti scomparire... o forse no.

"I dati saranno conservati finché sarà operativo il servizio, salvo richieste di cancellazione." in effetti non c'è alcuna possibilità di immaginare se i dati saranno conservati un giorno, un mese, un anno, dieci anni.  A mio giudizio, questa dichiarazione e ciò che sta accadendo qualificano la serietà degli autori che, con buona approssimazione, è paragonabile al valore di un tarzanello. 

 

Prosit.

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Letture totali:  

...

Toggle darkmode