Clubhouse è un nuovo tipo di social network basato sulla voce che è cresciuto in modo significativo negli ultimi tempi. È diventata la nuova app di tendenza in gran parte perché offre agli utenti la rara possibilità di stabilire una vicinanza digitale a personaggi ricchi e famosi, come Elon Musk, Drake, Oprah Winfrey o Kevin Hart.
È un’app su invito, disponibile solo per iOS, almeno per il momento, il che la rende in qualche modo esclusiva e tutti vogliono entrarci. Gli utenti possono partecipare sia privatamente che nei canali pubblici, dove vengono discussi argomenti di ogni tipo. Inoltre presenta una componente sociale notevole: gli utenti possono seguirsi a vicenda, e Clubhouse incoraggia molto la formazione e la crescita di queste reti.
Ma indipendentemente dall’improvviso entusiasmo con cui è stata accolta, la piattaforma deve affrontare alcune questioni cruciali: la privacy e la sicurezza dei dati personali. Oltre a ciò, l’interesse degli utenti per Clubhouse è sotto il mirino dei cyber-criminali, che lo sfruttano per portare a termine nuove attività dannose. Ma diamo uno sguardo più da vicino al significato di ciascuna di tali questioni e a come Clubhouse mette a rischio la sicurezza e la privacy degli iscritti.
I protocolli di sicurezza e privacy non sono stati invitati nel club
La maggior parte delle persone non presta attenzione all’informativa sulla privacy di una piattaforma, quando invece dovrebbe, soprattutto perché può violare palesemente i diritti degli utenti alla privacy e alla sicurezza dei dati. Clubhouse, ad esempio, non è riuscita a soddisfare nemmeno i principi di base del diritto dell’UE e viola la maggior parte dei requisiti legali in materia di privacy e riservatezza dei dati dai primi momenti di utilizzo, come ha notato Alexander Hanff, difensore della privacy e co-fondatore di SynData AB, in un post LinkedIn su Clubhouse.
Il componente principale del motore di raccomandazione degli utenti di Clubhouse si basa sull’accesso ai contatti. Non si può invitare nessun altro alla piattaforma se non si concede l’accesso. Se autorizzate Clubhouse ad accedere ai vostri contatti, l’app vi mostrerà tutti quelli della vostra rubrica che sono anche su Clubhouse. Inoltre, vi solleciterà a invitare chi non ne fa ancora parte e vi invierà una notifica non appena qualcuno di loro si è iscritto.
Ancora peggio, la vostra privacy su Clubhouse dipende non solo da cosa fate voi, ma anche da ciò che fanno quelli che hanno le vostre informazioni nei loro contatti. Per il momento, potete ricevere un invito su Clubhouse solo attraverso il vostro numero di telefono, che è collegato al vostro account e non può essere rimosso. Quindi, se qualcuno ha il vostro numero di cellulare tra i propri contatti e ha concesso a Clubhouse l’accesso a quei contatti, riceverà una notifica quando vi iscrivete all’app e la raccomandazione di seguirvi.
Inoltre, se volete usufruire del “Single Sign On” (utilizzando Twitter o altre credenziali di social media per accedere a Clubhouse), la piattaforma estenderà il proprio accesso a tutti i vostri contatti, contenuti e informazioni sull’account su quegli altri social media. Tutto ciò viola i requisiti dell’RGPD, il regolamento dell’UE sulla protezione dei dati e sulla privacy.
L’RGPD affronta anche il tema del trasferimento di dati personali al di fuori delle aree UE e SEE, un altro problema di Clubhouse. Nel caso vi stiate chiedendo cosa succede a tutti i vostri dati raccolti dall’app, e fareste bene a chiedervelo, dovete sapere che saranno trasferiti per intero negli Stati Uniti, senza una base giuridica valida e senza alcuna garanzia legale, che è invece necessaria per il trasferimento di dati a un paese terzo senza una decisione di adeguatezza.
Secondo il New York Times, questo mese le autorità di controllo tedesche e italiane hanno messo in discussione pubblicamente la conformità delle pratiche relative ai dati di Clubhouse con le leggi europee sulla protezione dei dati.
Inoltre, Klaus Müller, direttore esecutivo della Federazione delle organizzazioni di consumatori tedeschi, ha avvertito Clubhouse che dovrà subire sanzioni a causa dei suoi problemi di privacy dei dati, portando la questione su Twitter (traduzione in italiano): “Gravi carenze nella protezione dei #dati, #AGB [termini e condizioni] solo in inglese, nessuna dichiarazione di proprietà: la @vzbv [Federazione delle organizzazioni di consumatori tedeschi] denuncia questi punti nella sua lettera di #avvertimento al gestore di #Clubhouse ed esige la presentazione di una dichiarazione di astensione delle pratiche scorrette”.
Nessuna crittografia end-to-end protegge le conversazioni
Se consultate l’informativa sulla privacy di Clubhouse, si legge che: “Al solo scopo di supportare le indagini sugli inconvenienti, registriamo temporaneamente l’audio mentre una stanza è in diretta. Se un utente segnala una violazione di affidabilità e sicurezza mentre la stanza è attiva, conserviamo l’audio ai fini dell’indagine sull’inconveniente, per poi cancellarlo al termine dell’indagine. Se nella stanza non viene segnalato nessun inconveniente, eliminiamo la registrazione audio temporanea al termine della diretta.”
In altre parole, il contenuto audio viene cancellato non appena la diretta della stanza finisce, a meno che non sia in corso un’indagine su un inconveniente. Ciò significa anche che i contenuti non sono protetti dalla crittografia end-to-end, aspetto che viola le norme imposte dalla direttiva ePrivacy (2002/58/CE). Il diritto dell’UE stabilisce la necessarietà della riservatezza nelle comunicazioni e afferma che l’intercettazione di tali comunicazioni può avvenire legalmente solo con il consenso di tutte le parti coinvolte in tale comunicazione.
Profilazione e social graph
Non è necessario essere esperti di termini e disposizioni legali per capire cosa fa Clubhouse di sbagliato con i dati degli utenti. Oltre a registrare le conversazioni, la piattaforma “raccoglie contenuti, comunicazioni e altre informazioni che fornite, compreso quando create un account, create o condividete contenuti e inviate messaggi o comunicate con altri”, come dichiarato nella loro pagina dell’Informativa sulla privacy. Inoltre può scegliere di “raccogliere informazioni su come utilizzate il nostro Servizio, come i tipi di conversazioni a cui partecipate, i contenuti che condividete, le funzionalità che usate, le azioni che intraprendete, le persone o gli account con cui interagite e l’ora, la frequenza e la durata del vostro utilizzo”. Non è chiaro, però, come usano queste informazioni e per quali scopi.
Utenti di Clubhouse, complici inconsapevoli della violazione della privacy dei dati
Per i privati, Clubhouse rappresenta una pessima scelta per due motivi. In primo luogo, viola numerosi requisiti legali in materia di privacy e riservatezza dei dati. In secondo luogo, chiede agli utenti di infrangere la legge concedendo all’app l’accesso al loro elenco di contatti per invitare gli amici a utilizzare la piattaforma, e questo include i loro numeri di telefono.
Il diritto dell’UE stabilisce che è necessario avere il consenso di una persona per condividere i suoi dati personali con un’entità commerciale di terze parti. Contestualmente, un’azienda non può utilizzare dati personali forniti da una terza parte (in questo caso, un utente privato), a meno che tali dati non siano stati forniti in modo lecito. Come illustrato sopra, la divulgazione di dati personali senza consenso non è lecita.
Aggiungete a questo il fatto che Clubhouse sta stimolando la domanda applicando dei finti limiti alle registrazioni degli utenti. Pertanto, l’unico modo in cui è attualmente possibile accedere alla piattaforma è tramite un invito da un utente registrato esistente: ciò significa che l’unico modo in cui potete entrare nella piattaforma è se i vostri dati personali sono condivisi illegalmente da un vostro “amico”.
L’interesse degli utenti per Clubhouse, sfruttato dai cyber-criminali
Oltre ai problemi di privacy e sicurezza, l’interesse degli utenti per la piattaforma sociale può essere sfruttato dai criminali informatici per monetizzare attraverso la vendita di falsi inviti e false app per Android, per installare codici dannosi sui dispositivi degli utenti o per registrare conversazioni, che come abbiamo già visto non sono crittografate.
Dal momento che Clubhouse è disponibile solo su iPhone ed esclusivamente attraverso un sistema di inviti, ci sono già eBay, Craigslist e gruppi privati di Facebook che vendono inviti. Il prezzo parte da 20 dollari e spesso ha superato i 100 dollari.
La minaccia di malware è un altro problema ipotizzato dagli esperti di Avira. Anche se probabilmente tutti coloro che hanno sentito parlare di Clubhouse sanno che è disponibile solo per iPhone, l’app è ancora tra le più ricercate su Google Play Store: ciò può aprire le porte ai criminali informatici che creano applicazioni false e installano codici dannosi sui dispositivi degli utenti.
Naturalmente, il modo migliore per proteggersi è prestare molta attenzione quando si decide di scaricare un’app e impostare misure di sicurezza adeguate.
