I totem pubblicitari nella stazione Centrale di Milano potrebbero spiarti?

Lo scorso 11 aprile, sul sito del Corriere della Sera, Luca Rinaldi dava voce alla segnalazione fatta da Giovanni Pellerano, esperto di anonimato e privacy e tra i fondatori del Hermes Center for Transparency and Digital Human Rights, riguardo la presenza di totem pubblicitari nella stazione Centrale di Milano in grado di riconoscere l'età, il genere, ed il livello di attenzione di una persona che vi passa di fronte.

Questo software, VidiReports, di cui ha parlato anche Report nella puntata andata in onda il 22 maggio, è stato prodotto dall'azienda francese Quividi, venduto dal rivenditore Dialogica a Grandi Stazioni Retail, compagnia che si occupa della gestione di spazi pubblicitari nelle stazioni, ed installato a partire dal 2013 sui tabelloni pubblicitari di diverse stazioni italiane.

I totem pubblicitari, riconoscendo ad esempio di avere di fronte un maschio fra i 20 ed i 30 anni, stabiliscono quale pubblicità è più adatta da mostrare al soggetto rilevato, ottenendo così una personalizzazione della campagna pubblicitaria.

Secondo quanto riportato da Quividi, il loro sistema si occupa di "Anonymous Video Analytics (AVA)", raccogliendo quindi "metadati" dell'audience a partire dalle immagini riprese dalle videocamere disposte nei totem. Sempre stando a quanto riportato dall'azienda, infatti, non sono salvate immagini o video né vengono raccolti dati che possano identificare univocamente una persona, ma vengono raccolti solamente dati aggregati sulla demografia, sull'umore e sull'attenzione prestata all'annuncio pubblicitario dalle persone che si trovano nelle vicinanze del totem.

Secondo i dati tecnici del software, la rilevazione può avvenire fino a 15 metri di distanza, e l'accuratezza sembra essere elevata: 96% per quanto riguarda il rilevamento dei visi, 95% per il tempo di attenzione, 75% per l'individuazione dell'età — percentuale che si spinge fino al 95% quando viene fornito un range di +/- 10 anni —, e 90% per la stima dell'umore.

Il sistema, inoltre, è in grado di identificare la presenza di occhiali, barba, cappelli, ma, secondo quanto riportato dal brevetto depositato nel 2014, questo software è in grado di individuare anche l'etnia del soggetto ripreso dalla telecamera, facendo quindi sorgere dubbi legati a potenziali rischi per la privacy degli utenti.

"L'individuazione dell'etnia e la descrizione demografica rientrano nella definizione di dati personali, secondo il GDPR, solo se permettono la profilazione del singolo individuo: nel caso di Quividi, l'azienda afferma di non essere in grado di fare una cosa simile ma, tuttavia, il reale funzionamento del software non è chiaro," spiega il Dr Lukasz Olejnik, ricercatore e consulente indipendente di cybersicurezza e privacy, affiliato al Center for Information Technology Policy di Princeton, contattato via email.

Il livello di anonimato, mi spiega Lukasz Olejnik, dipende dal numero di persone esposte ad un dato sistema: Quividi afferma di raccogliere solo dati aggregati ma poiché non è stato reso disponibile pubblicamente alcuna analisi dell'impatto del loro sistema sulla privacy degli utenti — il cosiddetto Data Protection Impact Assessment, uno dei punti fondamentali del nuovo Regolamento europeo sulla protezione dei dati personali (GDPR) che entrerà in vigore nel maggio del 2018 — è difficile dire se questi totem sono potenzialmente pericolosi.

"Il Data Protection Impact Assessment è chiaramente necessario nel caso di Quividi: il sistema lavora su larga scala, c'è il rischio che avvenga una profilazione degli utenti, e chiaramente utilizza nuove tecnologie innovative," ribadisce Lukasz Olejnik.

Ho contattato telefonicamente Giovanni Pellerano che mi ha spiegato che oltre ai dubbi legati alla potenziale violazione della privacy, ci sono altri particolari preoccupanti. La sua segnalazione era nata poiché, incuriosito dal totem non funzionante, si era avvicinato allo schermo per scoprire che il sistema operativo alla base di questi totem è Windows: sullo schermo touch era presente, al posto dei classici messaggi pubblicitari, il comune desktop dei sistemi operativi prodotti da Microsoft.

Infatti, come riportato da Quividi, il software VidiReports può essere installato su sistemi operativi come Windows e Linux ma, nel caso specifico dei totem nella stazione di Milano, sottolinea Giovanni Pellerano, l'accesso al sistema sembra essere completamente sprovvisto di misure minime di sicurezza — come ad esempio una password a protezione del livello amministrativo o antivirus e firewall per la protezione del dispositivo da minacce esterne operate da remoto via internet o localmente, dal momento che il sistema sembrerebbe risultare completamente accessibile grazie ad un tocco sullo schermo touch.

Potenzialmente, c'è il rischio che tutti i totem presenti nella stazione di Milano siano dei grandi tablet su cui è installato Windows, completamente insicuri, ed accessibili da qualunque malintenzionato.

Pellerano, però, prosegue aggiungendo un altro aspetto di rilievo: "secondo il brevetto di Quividi, il sistema nel suo complesso prevede la presenza di lettori di tag RFID ed NFC presenti nei comuni telefoni cellulari al fine di effettuare delle operazioni di opt-in ed opt-out."

Il sistema RFID è previsto in modo da effettuare l'esclusione di alcuni soggetti dal sistema di rilevazione — è utile nel caso in cui i totem siano installati all'interno di un negozio e vi sia la necessità di segnalare la presenza di commessi da escludere dal sistema in quanto passano più volte al giorno di fronte al totem ma non sono veri clienti.

Tali lettori risultano però presenti anche nelle installazioni presenti in stazione centrale a Milano, aggiunge Pellerano, ed "è poco chiaro quali sistemi partecipano all'elaborazione di queste informazioni, se sono locali o remoti e se possano essere involontariamente letti i tag presenti nei cellulari o relativi alle carte di credito dei passanti."

"In linea di principio, il miglior modo per introdurre dei tag di esclusione," sottolinea Lukasz Olejnik, "sarebbe quello di fornire un tag identico per tutti e non unico." Purtroppo, però, a causa della mancanza di un privacy impact assessment pubblicamente disponibile, non è possibile comprendere a pieno il funzionamento reale del dispositivo. Un'altra domanda importante da porsi, prosegue Lukasz Olejnik, "è capire perché venga concesso l'opt-out solamente ai dipendenti e non sia previsto invece anche per i clienti."

Secondo quanto riportato sul sito di Dialogica, l'azienda "è stata la prima società ad ottenere l'autorizzazione n. 4878.75732 dal Garante per la protezione dei dati personali all'utilizzo dei sistemi di analisi automatica delle audience" nel 2011. Il Garante ha effettivamente concesso l'autorizzazione affermando che, non sussistendo trattamento dei dati personali, "non si ritiene che il medesimo sistema sia assoggettabile alla normativa in materia di privacy." Dalla stessa autorizzazione, però, sembra anche che la valutazione si sia basata su informazioni fornite direttamente da Dialogica stessa. Al momento, secondo quanto riportato dal Corriere della Sera e stando ad informazioni raccolte da Motherboard, il Garante per la privacy italiano sta effettuando una nuova valutazione del software prodotto da Quividi.

Abbiamo contattato Grandi Stazioni Retail per chiedere chiarimenti sul livello di sicurezza dei totem, ed in uno scambio via mail hanno affermato di disporre "di tutte le misure di sicurezza previste dalle best practice dell'IT," aggiungendo però che "ovviamente, proprio nel rispetto degli standard di sicurezza, non ne rendiamo noti i dettagli, men che meno ai giornalisti."

Al momento, quindi, rimangono dubbi non solo sul rischio di violazioni della privacy ma anche sulla sicurezza stessa dei totem installati da Grandi Stazioni Retail, totem che potrebbero essere completamente accessibili in remoto e permettere a chiunque l'accesso alle immagini raccolte dalle camere installate.