di Chiara Comai (linkiesta.it, 13 ottobre 2023)
«TikTok è un sistema di raccolta dati mascherato da social media». Così scrive su Reddit l’utente «bangorlol», un ingegnere di software che cerca di scovare le falle dell’applicazione in termini di privacy. Sembra l’ennesima informazione non verificata, eppure viene riportata da Cyber Security 360 come uno degli elementi di contesto intorno all’indagine del Copasir nei confronti di TikTok, il social network cinese più scaricato al mondo.
Ma di frasi così ce n’è centinaia sul Web. Basta addentrarsi nei dettagli della questione per scoprire scenari spaventosi invocati da numerosi esperti del settore privacy. Sembrano esagerazioni, però trovano conferme nelle numerose indagini, multe e provvedimenti avviati nei confronti del social cinese. TikTok è davvero la versione digitale del Grande Fratello? Proviamo a fare un po’ di chiarezza.
I Terms of Use
Problema numero uno: la protezione dei dati. Secondo Stefano Zanero, professore del Politecnico di Milano specializzato in sicurezza informatica, l’applicazione cinese non è così diversa da Instagram. Però richiede «accessi curiosamente estesi», ovvero «vuole un po’ troppe informazioni rispetto a ciò che effettivamente serve all’app». E dunque desta qualche sospetto, anche se al momento non ci sono dimostrazioni che sia pericolosa (se no sarebbe stata già bannata). Di fronte all’accusa di essere troppo esigente nei confronti dei dati degli utenti, siamo andati a verificarne i termini e le condizioni.
A confronto con Instagram, l’applicazione quanto più simile al social cinese che ci sia, i termini di uso di TikTok in effetti sono più estesi e articolati. Le informazioni possono essere fornite dall’utente, prese in maniera automatica dal sistema, o provenienti da «altre sorgenti». Le prime sono le più comuni: i contenuti delle conversazioni, i contatti (e tutto ciò che è correlato, quindi anche le email, se sono registrate in rubrica), i dati della carta con cui vengono effettuati i pagamenti, i contenuti dei sondaggi cui si partecipa, oltre al materiale in sé che l’utente produce.
Fino a qui tutto nella norma, per così dire. Però TikTok dice anche di sfruttare la geolocalizzazione per acquisire informazioni aggiuntive sul luogo, ad esempio se ci sono «attrazioni turistiche, negozi o altri punti di interesse» intorno al punto indicato. Viene da chiedersi se sapere dell’esistenza di un McDonald’s accanto al Duomo di Milano non sia un po’ troppo specifico per gli scopi del social media. Ma tutto pare ricondursi a una imponente operazione di addomesticamento dell’algoritmo, noto per essere così efficace da aver determinato il successo dell’applicazione. Dunque andiamo avanti.
Alcuni dati sono forniti in automatico, come «il modello del dispositivo, il sistema operativo, gli schermi o i ritmi di battitura, l’indirizzo Ip [il codice che serve per navigare su internet] e la lingua del sistema. Raccogliamo inoltre informazioni relative al servizio, alla diagnostica e alle prestazioni, compresi i rapporti sugli arresti anomali e i registri delle prestazioni». Ma davvero i ritmi e gli schemi di digitazione sulla tastiera possono rivelare informazioni riservate? No, secondo Marco Mellia, responsabile del Centro Interdipartimentale Smart Data del Politecnico di Torino. Piuttosto, possono servire a capire meglio le diverse tipologie di utente.
«Se digito con una mano sola, a un ritmo lento, l’algoritmo può dedurre che ho poca dimestichezza con il dispositivo e dunque potrei avere un’età più avanzata rispetto ad altri utenti». Un elemento di conoscenza in più per suggerire contenuti ancora più appropriati. E se invece il ritmo di battitura servisse anche per intercettare le emozioni che l’utente sta provando? Un’ipotesi difficile sia da confermare sia da smentire. Perché è complicato fare chiarezza su questi dati «curiosamente estesi» e anche gli esperti del settore mettono le mani avanti.
Le sanzioni penali
Quello che emerge, finora, è che i dubbi degli utenti timorosi non siano poi tanto infondati. Un mese fa TikTok è stata multata per trecentoquarantacinque milioni di euro dall’Unione Europea per non aver rispettato le norme di tutela dei dati dei minori. L’indagine, condotta tra il 2020 e il 2021, evidenzia come i minorenni fossero incitati dalla piattaforma a pubblicare i video registrati e a optare per un account pubblico. Nessun messaggio intimidatorio: il pulsante per annullare la pubblicazione, o quello per scegliere un account privato, veniva presentato in versione più piccola e meno evidente. Facendo in modo che la scelta non fosse obiettiva e neutrale.
Nel 2019 TikTok ha ricevuto anche un’altra sanzione da parte dell’Agenzia governativa americana, per aver raccolto i dati personali di utenti minori di tredici anni, con una penale di 5,7 milioni di dollari. Il 12 ottobre 2023 è stato introdotto l’obbligo per TikTok di proteggere gli utenti di giovane età da contenuti violenti o di propaganda terroristica. La decisione è stata presa dalla Commissione Europea e comunicata al ceo di TikTok tramite una lettera.
Dove e perché TikTok è stato vietato
Si è finora appurato che sì, TikTok ha un atteggiamento piuttosto aggressivo nei confronti dei dati degli utenti. Registra un po’ troppe informazioni anche su elementi non strettamente connessi con il funzionamento dell’app, con la scusa di voler perfezionare l’algoritmo. D’altronde il fatto che quest’ultimo sia di gran lunga il migliore in circolazione è la giustificazione perfetta per qualunque richiesta di dati. Una scusa che, però, rende ancora più difficile indagare sul tema.
Eppure, nonostante questo, la Commissione e il Parlamento europei hanno vietato di scaricare l’app sui telefoni dello staff (sia di lavoro, sia personali) per «proteggere i dati e aumentare la sicurezza informatica». Si sono accodati Stati Uniti, Canada, Lettonia, Danimarca, Belgio, Regno Unito, Taiwan, e Nuova Zelanda. In Italia è stata avviata un’indagine del Copasir, il comitato parlamentare per la sicurezza, ma già nel 2019 in un documento per la sicurezza informatica (che non aveva lo scopo di indagare TikTok nello specifico) erano state esplicitate delle perplessità riguardo il ruolo della Cina. Perché oltre a quanti dati TikTok prende, il problema riguarda dove queste informazioni vanno a finire.
Geopolitica e pericolo di spionaggio
«Tutte le app cercano di carpire quanti più dati possibile» spiega Giacomo Conti, giurista esperto della privacy del centro Nexa del Politecnico di Torino. «Ma se questi finiscono in California c’è una percezione diversa che se arrivano in Cina». La questione è dunque geopolitica. «Ciò che preoccupa è il fatto che TikTok sia cinese. In particolare per una questione di spionaggio», conferma Philip Di Salvo, giornalista e ricercatore dell’Università di Lugano (Svizzera).
La Cina non è un Paese democratico e le aziende sono obbligate ad accondiscendere alle richieste del Partito Comunista. Se il governo pretende di avere certi dati, TikTok deve fornirli. E lo scrive in maniera esplicita nei termini: «Obblighi e diritti legali. Possiamo accedere, conservare e condividere le informazioni con le forze dell’ordine, le autorità pubbliche, i titolari dei diritti d’autore o altre terze parti se riteniamo in buona fede che ciò sia necessario per rispettare le leggi vigenti, i procedimenti legali o le richieste governative».
Anche il Copasir lo conferma, nel documento per la sicurezza informatica del 2019: «Contrariamente a quanto avviene per le imprese occidentali, le aziende cinesi, pur formalmente indipendenti dal potere governativo, sono tuttavia indirettamente collegate alle istituzioni del loro Paese, anche in virtù di alcune norme della legislazione interna. Il Consiglio della Unione Europea […] evidenzia la necessità di considerare fra i fattori di rischio per la sicurezza non solo i profili attinenti la tecnologia ma altresì quelli derivanti da fattori extra-tecnici, e collegati alle politiche e ai sistemi legali vigenti nei Paesi terzi, con i quali vengano instaurati rapporti per la fornitura di servizi e prodotti».
Riguardo la Cina nello specifico, conferma ciò che viene detto tra le righe nei termini di TikTok: «In Cina gli organi dello Stato e le stesse strutture di intelligence possono fare pieno affidamento sulla collaborazione di cittadini e imprese, e ciò sulla base di specifiche disposizioni legislative. La National Security Law obbliga, in via generale, cittadini e organizzazioni a fornire supporto e assistenza alle autorità di pubblica sicurezza militari e alle agenzie di intelligence. Inoltre, con riferimento alla normativa sulle attività informatiche, la Cyber Security Law prevede che gli operatori di rete debbano fornire supporto agli organi di polizia e alle agenzie di intelligence nella salvaguardia della sicurezza e degli interessi nazionali. Sulla base di tali elementi informativi, il Comitato non può pertanto che ritenere in gran parte fondate le preoccupazioni circa l’ingresso delle aziende cinesi».
Per ora, libera scelta
E quindi? Dunque il tema della privacy è intrecciato con quello geopolitico. Se da un lato TikTok cerca di prendere quanti più dati possibile come gli altri social media, è però stata multata due volte e confrontando i termini si nota un accesso ai dati maggiore e più specifico, non sempre giustificabile con gli utilizzi dell’app. Allo stesso tempo, non si possono ignorare gli aspetti geopolitici: la Cina è in forte competizione con gli Stati Uniti, casa madre di quasi tutti gli altri attori in gioco, da Google a Meta, ed è governata da un regime dittatoriale, non in linea con i principi dell’Unione Europea.
In più, il governo cinese ha il potere di esercitare una forza coercitiva nei confronti delle proprie aziende, che per legge non possono sottrarsi a fornire tutte le informazioni che vengono richieste, qualora accadesse. Questo è l’elemento che più spaventa i governi occidentali, che dunque hanno deciso di proteggersi facendo eliminare l’app a tutti i dipendenti di alto profilo. Ai cittadini, per ora, libera scelta.