Quelli che sanno quando hai aperto un’email

Superhuman è una nuova applicazione per gestire le proprie email che nelle ultime settimane, soprattutto negli Stati Uniti, ha ricevuto grandi attenzioni e recensioni positive. L’app al momento è disponibile solo sotto invito e costa 30 dollari al mese, ma questo non ha impedito a Superhuman di farsi conoscere e ricevere ingenti investimenti da decine di milioni di dollari. Fino alla settimana scorsa la società sembrava essere destinata a un notevole successo, ma il tono positivo con cui era stata accolta è cambiato sensibilmente negli ultimi giorni, dopo che si è scoperto che l’app aveva un’impostazione predefinita per tenere traccia dell’apertura delle email inviate, ogni volta che queste venivano lette dai riceventi, registrandone orario e luogo di apertura.

È piuttosto comune che le email per il marketing, le newsletter e i messaggi di spam contengano al loro interno sistemi per tracciare la lettura da parte dei riceventi, mentre è piuttosto raro che lo stesso avvenga con le email inviate dai singoli utenti nell’ambito dei loro scambi di posta. Il caso di Superhuman dimostra però che non ci vuole molto per consentire a qualsiasi utente di spiare le attività di qualcun altro, persino con un’opzione attivata in modo predefinito e all’insaputa dello stesso mittente dei messaggi.

Tra i primi ad accorgersi del problema di Superhuman c’è stato Mike Davidson, un ex dirigente di Twitter, che dopo avere segnalato la cosa su Twitter ha scritto un post per descrivere meglio la situazione. Davidson ha accusato Superhuman di “insegnare ai suoi utenti a sorvegliare il prossimo in modo predefinito”:

Quando i prodotti vengono inseriti sul mercato con comportamenti come questo, i clienti pensano che non solo si tratti di qualcosa di lecito, ma anche di eticamente accettabile. Non vanno spesso al passaggio successivo chiedendosi: “Aspetta un momento, dovrei fare questa cosa?” È un po’ come passare davanti alla finestra di casa di qualcuno di notte e vederlo nudo. Potresti fare una tra queste cose: a) guardare da un’altra parte e filartela, realizzando di avere visto qualcosa che quella persona sicuramente non avrebbe voluto mostrare, o b) continuare a guardare, perché se davvero non avesse voluto farsi vedere, avrebbe chiuso le persiane. Sono due modi di approcciarsi al mondo, e Superhuman non solo rende possibile l’opzione b), ma si spende attivamente per renderla possibile.

I sistemi per verificare se un’email sia stata aperta dal ricevente esistono da molto tempo, e non vanno confusi con la “conferma di lettura” che può essere impostata su molti programmi di posta elettronica. Quest’ultima opzione consente a chi manda l’email di aggiungere una richiesta al ricevente, con l’invito esplicito a confermare l’avvenuta apertura dell’email e l’invio di un messaggio che lo conferma. Il processo è trasparente ed è visibile sia a chi ha spedito l’email sia a chi l’ha ricevuta. I sistemi di controllo nascosti nelle email non sono invece trasparenti per il ricevente, che in molti casi non è a conoscenza della loro presenza né del fatto di essere di fatto spiato.

Quando si visita la pagina di un sito, il programma per navigare (browser) scarica da un computer a distanza (server) i dati per ricostruire i contenuti di ciò che stiamo leggendo: testo, immagini e tutto il resto. Quando il browser chiede di fornire un’immagine, per esempio, il server può registrare il momento e (approssimativamente) il luogo da cui è provenuta la richiesta. Anni fa, qualcuno pensò di applicare la stessa logica alle email: inserire un contenuto, come un’immagine minuscola (per esempio grande appena un pixel per un pixel), all’interno delle email, in modo che quando queste vengono aperte ci sia una richiesta a un server per scaricarla che rende possibile la registrazione dell’orario e del luogo di apertura del messaggio.

Per farla semplice: ricevi un’email, la apri, l’applicazione della posta elettronica scarica automaticamente quella minuscola immagine dal server, che a quel punto sa che l’email è stata aperta. L’immagine può contenere al suo interno un riferimento univoco, che permette quindi di risalire con maggiore precisione al ricevente che l’ha aperta, rendendo possibile un tracciamento personalizzato.

Questa pratica è stata sfruttata negli anni soprattutto da chi si occupa di fare pubblicità online, oppure per la gestione delle mail collettive mandate a un grande numero di persone (le newsletter). È uno strumento utile, perché consente di farsi un’idea su quanto sia effettivamente circolata un’email inviata a migliaia di persone, sull’orario e su altre modalità di lettura, informazioni che possono essere utilizzate per migliorare le proprie campagne promozionali o d’informazione. La stessa logica è stata in seguito applicata ai siti, che quasi sempre contengono al loro interno parti di codice che consentono di tenere traccia delle attività dei lettori, in forma anonima, per valutare il loro comportamento, le cose che leggono e la permanenza sulla pagine.

Negli ultimi anni la situazione con i sistemi traccianti era comunque sfuggita un po’ di mano, per non dire di peggio, e anche per questo motivo alcuni governi e istituzioni internazionali hanno approvato norme e leggi per tenerli sotto controllo e responsabilizzare le aziende che tracciano le attività online. Il regolamento più completo e severo sul tema è quello approvato dall’Unione Europea (GDPR), che dallo scorso anno chiede ai siti e a chi usa sistemi per tracciare le email di essere trasparenti con i propri utenti, fornendo chiare informative sulla privacy e facendo in modo che siano i singoli a scegliere di acconsentire al tracciamento, e non viceversa come avveniva prima.

Mentre le attività delle aziende possono essere tenute più facilmente sotto controllo con regolamenti come il GDPR (seppure non manchino le difficoltà tecniche), rimane molto più complicato verificare le attività dei singoli in termini di tracciamento delle attività del prossimo. In questo, il caso di Superhuman è emblematico: l’opzione dell’app era stata pensata per fornire un elenco di tutte le volte in cui un messaggio inviato era stato aperto dal ricevente, ricollegando inoltre l’orario di apertura ad alcune informazioni geografiche (per quanto molto approssimative) sulla sua apertura.

Davidson nel suo post fa un esempio efficace per rendersi conto delle possibili conseguenze di un sistema di questo tipo:

Una persona usa Superhuman per inviare un’email disperata con oggetto: “Ti ho pensata”. La invia alla sua ex, che la legge mentre sta andando al lavoro intorno alle 9 del mattino nel centro di Los Angeles. Lei la legge di nuovo prima di cena con alcune amiche a Pasadena intorno alle 19. Lei la legge ancora a casa a Santa Monica verso l’una di notte. Nel corso del weekend, fa un viaggio a New York e la legge di nuovo. Due volte. Decide di non rispondere, perché il suo ex l’ha perseguitata in passato e non vuole più comunicare con lui. Ma grazie al sistema di tracciamento, la sua email comunica sempre, e condivide informazioni che lei non vorrebbe fossero inviate, e che non sa nemmeno siano mandate al mittente. Lei non ha risposto, ma il suo ex può lo stesso sapere che lei ha letto la sua email cinque volte, compresa probabilmente una volta quando era a letto. E sa anche che lei ha fatto un viaggio a New York.

In seguito al post di Davidson e alle numerose polemiche che ne sono seguite, i responsabili di Superhuman si sono ampiamente scusati e hanno annunciato modifiche alla loro applicazione. Il sistema per tracciare la posizione geografica dei riceventi sarà bloccata, le informazioni raccolte finora cancellate e l’opzione di notifica dell’avvenuta lettura sarà presente, ma con limitazioni e attivabile solo su esplicita richiesta da parte degli utenti.

Ci sono altre applicazioni in circolazione che sfruttano gli stessi sistemi usati da Superhuman, o dai servizi di marketing, per rilevare gli orari di apertura delle email e verificare la loro lettura da parte dei riceventi. Aziende e istituzioni sono tenute a segnalare la presenza dei sistemi traccianti, per esempio nella loro documentazione sulla privacy, mentre come abbiamo visto è più difficile capire se un singolo privato ci abbia inviato un’email contenente qualcosa per tracciare l’apertura del messaggio. Per arginare il problema, si può impostare il proprio gestore o programma di posta elettronica in modo che non scarichi automaticamente le immagini, che sono di solito i contenuti più sfruttati per tracciare l’apertura delle email.

Qui trovate le istruzioni per disattivare le immagini su Gmail, Outlook e Mail. Thunderbird è un programma per la posta elettronica gratuito che ha come impostazione predefinita il blocco delle immagini e che, dalle impostazioni, dà la possibilità di aggiungere una lista di contatti sicuri per la lettura delle email con immagini.