«Ho installato in ufficio un assistente vocale e vorrei capire se ci sono problemi per la sicurezza dei dati. È vero che ascolta le conversazioni anche quando non è attivo?», chiede un lettore di Sicurezza.
Risponde Gianluca Pomante, avvocato cassazionista esperto di Data Protection.
I sistemi di assistenza vocale sono dispositivi hardware integrati con un software che trasmette i comandi dell’utente a un server centrale, che ha il compito di elaborarli e trasformarli in istruzioni comprensibili dal dispositivo stesso e da quelli a esso collegati.
Gli assistenti vocali possono essere utilizzati per fare ricerche su Internet e per ottenere informazioni di tipo generico, come le condizioni meteo, la distanza rispetto a un punto da raggiungere, le informazioni turistiche su un luogo da visitare e, più in generale, informazioni comunemente reperibili sul web. Possono essere utilizzati anche per impartire comandi ad altri dispositivi ed è questo, forse, l’aspetto più interessante, perché, attraverso la rete Wi-Fi, sono in grado di interagire con smart TV, personal computer, smartphone e altri dispositivi compatibili.
Dal punto di vista della sicurezza, presentano un problema di non secondaria importanza, perché ogni strumento di assistenza vocale, dall’app installata sullo smartphone fino al device acquistato per la casa o l’ufficio, è costantemente in ascolto (salvo che non venga spento, privandolo dell’alimentazione elettrica), così da individuare le frasi convenzionali che precedono i comandi da eseguire (ehi Siri, ok Google ecc.).
Questo significa che, almeno teoricamente, ogni parola pronunciata nei pressi del dispositivo può essere ascoltata da remoto da chi ha accesso ai server che supportano le applicazioni e perfino registrata, com’è possibile verificare consultando la sezione “privacy” di un qualunque account sul quale sia attivo l’assistente vocale.
Le aziende adottano ovviamente un codice etico e sono tenute a rispettare le norme sulla tutela dei dati personali, ma tali garanzie non sono sufficienti a evitare che l’utente possa essere vittima di un abuso commesso da un dipendente infedele o dall’intervento di un’agenzia governativa, soprattutto per quanto riguarda il traffico di dati verso gli Stati Uniti, che hanno una legislazione interna in palese contrasto con il Reg. UE 679/2016, tanto che la Corte di Giustizia Europea, con la pronuncia Schrems II, ha sostanzialmente annullato l’accordo denominato Privacy Shield.
Sebbene la Commissione Europea sia successivamente intervenuta con la definizione di clausole contrattuali standard per disciplinare tali situazioni, in attesa di un nuovo accordo internazionale è preferibile evitare di installare tali dispositivi nelle stanze in cui è opportuno tutelare l’intimità familiare o nei locali aziendali in cui si discute di argomenti strettamente riservati.
