FaceApp: due parole sull'opportunità di inviare dati personali all'applicazione

FaceApp non è un’applicazione nuova: disponibile per Android e iOS è stata presentata per la prima volta già a inizio 2017 ma nelle ultime settimane sta guadagnando, anche in Italia, una popolarità sconfinata.

Sviluppata e aggiornata dalla società russa Wireless Lab, FaceApp utilizza machine learning e intelligenza artificiale per esaminare il contenuto delle foto inviate dagli utenti e trasformarle sulla base della richiesta avanzata.

FaceApp è un’app “di tendenza” perché, partendo da una sola foto, consente di invecchiare o ringiovanire il soggetto che vi è ritratto, farlo sorridere, modificarne il look e così via. L’applicazione usa diversi filtri, liberamente personalizzabili dagli utenti ed è questo il segreto del suo successo.

Negli Stati Uniti il politico democratico Chuck Schumer ha chiesto l’intervento dell’FBI ipotizzando possibili rischi di un’app quale FaceApp per la sicurezza nazionale e la privacy di milioni di cittadini. Schumer si è detto preoccupato perché informazioni sensibili vengono fornite “a una potenza straniera ostile attivamente impegnata anche in operazioni informatiche contro gli USA“.

Il CEO di FaceApp, nonché responsabile delle politiche sulla privacy della società Wireless Lab, Yaroslav Goncharov, ha risposto che solo una singola immagine specificamente scelta dall’utente viene caricata sui server cloud e che l’applicazione non ha raccolto e non raccoglie l’intera galleria fotografica di un utente. Conferme in tal senso arrivano dagli esperti in materia di sicurezza.

Goncharov ha inoltre aggiunto che i dati non vengono e non sono mai stati trasferiti in Russia: FaceApp si appoggia infatti a server cloud forniti da Amazon e Google, fisicamente dislocati negli Stati Uniti.

L’ideatore di FaceApp ha voluto rimarcare che gli utenti della sua applicazione hanno comunque il diritto di richiedere la rimozione delle loro foto dal server. “Potremmo memorizzare un’immagine caricata nel cloud. La ragione principale di ciò è la performance e il traffico: vogliamo essere sicuri che l’utente non carichi la foto ripetutamente per ogni operazione di modifica. La maggior parte delle immagini vengono cancellate dai nostri server entro 48 ore dalla data di caricamento“, ha aggiunto.

Tutto a posto, quindi? Sembrerebbe. Ma in molti, noi compresi, invitiamo a riflettere su quanto sia davvero “igienico” inviare foto personali, insieme con altri dati, a soggetti terzi che hanno per giunta stabilito la loro sede legale in un Paese straniero.

Esaminando ad esempio i permessi richiesti dalla versione Android di FaceApp, si scopre che allo stato attuale l’applicazione non raccoglie informazioni sul numero di telefono e sull’identità dell’utente. Non c’è quindi un collegamento diretto fra le foto caricate, numeri telefonici o identificativi (ad esempio IMEI) utilizzabili, per esempio, per attività di controllo di massa (vedere ad esempio qui, qui e qui).
Al momento. Perché non è escluso che in futuro uno sviluppatore possa alterare il funzionamento di un’app rendendola in grado di razziare un quantitativo di dati molto più ampio e articolato.

Per quanto riguarda FaceApp, inoltre, è vero che l’applicazione accedere alla galleria solo per effettuare l’upload della foto selezionata dall’utente ma il permesso è generalizzato e consente potenzialmente un accesso indiscriminato all’intera galleria.

La policy sulla privacy di FaceApp, inoltre, non integra alcun riferimento al vigente Regolamento generale sulla protezione dei dati (GDPR). Una défaillance evidente (la policy di FaceApp risulta aggiornata a gennaio 2017) che purtroppo accomuna ancor oggi moltissime applicazioni.
Nella policy di FaceApp, tra l’altro, è riportato espressamente che l’app può raccogliere identificativi del dispositivo mobile per identificarlo in modo univoco. I permessi Android per procedere in tal senso non sembrano essere richiesti ma nella policy sulla privacy tale frase continua a permanere.

Tra i permessi richiesti dall’app vi sono comunque quelli per l’accesso allo storage.

Anche gli esperti di Check Point, dopo aver messo ai raggi X FaceApp, hanno dichiarato che al momento non è stato rilevato nulla di sospetto o fuori dal comune nel funzionamento dell’applicazione.

In generale, comunque, è bene chiedersi sempre – come accennato in apertura – quali informazioni vengano raccolte da ciascuna applicazione astenendosi dal fornirle nel caso in cui qualche aspetto non dovesse risultare convincente o destasse qualche dubbio.