FaceApp ha qualche problema di privacy

FaceApp, l’applicazione per applicare filtri ed effetti alle foto della propria faccia, sta avendo negli ultimi giorni un nuovo momento di successo, dopo quello raccolto un paio di anni fa. Milioni di persone in giro per il mondo, Italia compresa, si sono messi a condividere la foto di come appariranno da vecchi secondo gli algoritmi dell’applicazione, utilizzando un filtro che esisteva già da tempo, ma che è stato sensibilmente migliorato nelle ultime versioni offrendo risultati più verosimili. Oltre a riempire i social network di foto di anziani virtuali, il nuovo successo di FaceApp ha portato con sé nuove preoccupazioni sulla privacy degli utenti, legate al funzionamento dell’applicazione e al fatto che questa sia sviluppata e gestita in Russia.

La società dietro FaceApp si chiama Wireless Lab e ha come CEO Yaroslav Goncharov, un ex manager di Yandex, il principale motore di ricerca e portale della Russia. L’app è disponibile dal gennaio del 2017 e può essere installata sia sugli iPhone sia sugli smartphone Android. Dopo l’installazione, FaceApp chiede l’autorizzazione per poter accedere alle foto sul proprio smartphone, così che queste possano poi essere modificate applicando i vari filtri, compreso quello per invecchiarsi. È un sistema comune a moltissime applicazioni, ma FaceApp non rende chiaramente esplicito che i dati delle foto scelte per le modifiche saranno raccolti dai suoi sistemi e che saranno trasferiti sui suoi server.

Dopo che si è scelta una fotografia dal proprio rullino fotografico, FaceApp la invia ai server, dove avviene materialmente la modifica dell’immagine. Una volta terminata l’operazione, la foto viene rispedita allo smartphone che l’aveva inviata, con il filtro richiesto applicato. Il processo è piuttosto veloce, ma completamente nascosto: viene mostrato un cerchio che si riempie man mano che procede l’operazione, senza che sia spiegato da qualche parte che l’immagine abbia lasciato lo smartphone, sia finita su un server per essere modificata e poi rinviata al cellulare.

FaceApp non è l’unica applicazione a usare questo sistema per modificare le foto, lo fa per esempio anche Prisma, un’altra app per gli effetti fotografici che aveva ottenuto un discreto successo qualche anno fa. Fino a ieri, la società russa aveva però fornito informazioni molto vaghe sulla fine che facessero le fotografie caricate dagli utenti, una volta che queste venivano memorizzate sui server. In seguito ai dubbi circolati nei giorni scorsi, Wireless Lab ha detto che le foto rimangono sui server “per qualche giorno” e che poi vengono cancellate, senza fornire informazioni più precise.

Analizzando l’attività di FaceApp, alcuni esperti hanno notato che l’applicazione utilizza server forniti dai servizi cloud di Amazon (AWS) e di Google. I dati e le fotografie sono quindi salvati in centri dati che si trovano all’esterno della Russia e, secondo l’azienda che la gestisce, nessuna informazione viene salvata direttamente in territorio russo. Anche in questo caso non ci sono però molte altre informazioni sulle politiche seguite da FaceApp per la conservazione dei dati.

Rispondendo alle critiche degli ultimi giorni, FaceApp ha inoltre spiegato che gli utenti hanno la possibilità di chiedere la rimozione dei loro dati conservati sui sistemi dell’applicazione. Il processo è però complicato: si deve andare nelle impostazioni della app, selezionare la voce “Supporto”, dalla schermata successiva “Segnala bug e invia i registri” e infine indicare “Privacy” nell’oggetto dell’email che viene generata per la segnalazione. FaceApp sostiene che a breve introdurrà un sistema più semplice per chiedere la rimozione dei propri dati, ma non ha chiarito né quando né con quali modalità.

La politica sulla privacy di FaceApp non è raggiungibile da nessuna schermata dell’applicazione ed è visibile solamente sul sito dell’app, in una versione piuttosto spartana. Le indicazioni sono generiche e comprendono formulazioni che lasciano ampio margine sull’utilizzo dei dati raccolti, compresa la possibilità di condividerli con altre aziende per scopi commerciali. Non rispettano lontanamente il GDPR, il regolamento europeo per la tutela dei dati personali entrato pienamente in vigore un anno fa. Gli utenti non possono sapere facilmente quali siano i loro dati in possesso di FaceApp e non hanno molta scelta, se non quella di non installare l’applicazione.

Anche se ci sono molte cose che non rispettano gli standard (dal GDPR in poi piuttosto alti) cui ci siamo abituati per la gestione dei dati personali, FaceApp non fa comunque cose molto diverse da altre applicazioni che gestiscono le nostre fotografie. Facebook e Instagram, solo per citare i due social network più utilizzati, raccolgono un’enorme quantità di informazioni dalle fotografie che decidiamo di caricare sui loro servizi. Le immagini sono impiegate per numerosi scopi, compresi quelli per migliorare il funzionamento dei sistemi di intelligenza artificiale, per riconoscere automaticamente i contenuti all’interno delle fotografie.

Facebook, come Google e le altre aziende più grandi, offrono però più strumenti per tenere sotto controllo i propri dati, sapere che cosa viene condiviso e dare la possibilità di cancellare le proprie informazioni. L’impegno di queste aziende in tal senso si è intensificato nell’ultimo anno, proprio grazie all’introduzione del GDPR. In linea di massima, comunque, una fotografia caricata pubblicamente su Internet diventa accessibile e disponibile a tutti, e nulla impedisce a chiunque di impiegarla per scopi diversi da quelli per cui era stata messa online, anche se questi violano le leggi.

FaceApp sta avendo molto successo su iOS, quindi sul sistema operativo utilizzato per gli iPhone di Apple. Da tempo la società statunitense si è impegnata per offrire più strumenti per la privacy ai suoi utenti e, in linea di massima, applica regole piuttosto severe su cosa possono o non possono fare gli sviluppatori che vogliono offrire le loro applicazioni nell’App Store. Finora la possibilità di produrre app che inviano le foto ai server per modificarle è stata concessa, e probabilmente continuerà a esistere in futuro, ma in molti auspicano che Apple introduca regole più chiare, che richiedano per esempio agli sviluppatori di rendere esplicito il caricamento delle immagini altrove, rispetto al proprio telefono. Apple ha un sistema di riconoscimento facciale, che utilizza per catalogare le foto a seconda della persona ritratta, ma nella sua app “Foto” il processo avviene esclusivamente sullo smartphone.

In estrema sintesi, FaceApp non è certamente l’unica applicazione ad avere regole vaghe e poche chiare sulla privacy, e probabilmente ne avrete altre che fanno cose simili sul vostro smartphone da anni. Le preoccupazioni emerse in questi giorni sono comunque positive perché, tra una foto invecchiata e l’altra, aiutano a fare aumentare la sensibilità sui temi della tutela dei dati personali online e su come questi vengono impiegati, molto spesso all’insaputa degli utenti.