Anno che viene, social network che nasce. Se durante il primo lockdown era impazzata la moda di “Houseparty”, oggi è esplosa quella per “Clubhouse”, l’app del momento.
Il nuovo social network si basa esclusivamente sulle chat audio, attraverso cui è possibile dialogare su qualsiasi argomento e con persone da tutto il mondo. Non c’è la possibilità di scrivere né di mandare foto o video, tutto si basa sulla parola: ogni stanza viene creata sulla base di un argomento e tutti gli iscritti possono ascoltare conversazioni, interviste e discussioni tra persone interessanti e nella maggior parte dei casi, anche popolari.
E’ come ascoltare la radio e poter intervenire in diretta, quasi di persona, con chiunque si colleghi.
Una delle particolarità è che si configura come un social esclusivo: non basta scaricare l’app e creare un account, ma c’è la necessità di essere invitati. Solo attraverso un invito è possibile accedervi ed ogni utente registrato ha la possibilità a sua volta di poter invitare un altro utente.
Se però la popolarità del social sembra essere la sua arma a favore, c’è da dire che le perplessità non hanno tardato ad arrivare: secondo lo Stanford Internet Observatory, la piattaforma ha vulnerabilità di sicurezza informatica e molte pecche dal punto di vista della privacy. Infatti, la maggior parte del flusso dei dati si poggia su una società terza chiamata “Agora”, che ha sede in Cina, a Shangai.
Tale Agora fornisce alla piattaforma un pezzo dell’infrastruttura tecnologica grazie alla quale è possibile chiacchierare in libertà ed in tempo reale: rappresenta quindi lo scheletro su cui si poggiano le “room” di discussione, uno scheletro costruito secondo protocolli però obsoleti.
Di conseguenza i dati e le registrazioni audio sarebbero accessibili al governo cinese che proprio la scorsa settimana ha però interdetto l’uso del social agli utenti del paese.
L’Osservatorio evidenzia, inoltre, un’incoerenza sulla crittografia obsoleta dell’applicazione, che permetterebbe di intercettare, registrare, conservare ed eventualmente trascrivere tutto ciò che accade nelle “stanze”.
Il primo problema è proprio questo: secondo gli esperti quando un utente si unisce a una stanza, un pacchetto di metadati viene inviato a questa infrastruttura. Sono informazioni che includono il proprio ID Clubhouse, univoco, e l’ID della stanza a cui quell’utente sta partecipando. Tutto questo non sarebbe crittografato in modo appropriato, e questo “significa che qualunque terza parte potrebbe accedere al network personale di un utente”.
Non solo. Secondo il gruppo di Stanford i tecnici di Agora potrebbero accedere al traffico audio grezzo. Significa che se le conversazioni non sono crittografate end-to-end, cosa che risulta estremamente improbabile, Agora potrebbe intercettare in modo molto semplice, registrare e conservare tutto o una porzione di quello che accade nelle room.
Bisogna anche evidenziare, valutando il rovescio della medaglia, che appoggiarsi ad un fornitore di servizi cinesi, significa dover rispettare le leggi locali sulla cybersicurezza. Infatti, secondo i ricercatori, Agora sarebbe obbligata a fornire al governo assistenza e supporto su indagini penali e sicurezza nazionale qualora le autorità ritenessero che ciò che viene detto in una stanza compromette la sicurezza del paese. Occorre anche ricordare che le stanze su Clubhouse non sono tutte pubbliche: c’è l’opportunità di consentire l’accesso solo agli utenti della propria cerchia o addirittura di metterne in piedi di private, a cui partecipano solo utenti selezionati. E anche l’identità non dev’essere necessariamente chiarita: la piattaforma è piena di utenti registrati con nickname, nomignoli o con pseudonimi.
Su questi ed altri rilievi, come il trattamento dei dati nella rubrica dei propri contatti che l’app risucchia e l’adeguamento delle policy privacy di Clubhouse al Gdpr europeo, si era già mosso nei giorni scorsi il Garante della privacy italiano. L’authority aveva ragione a volerne sapere di più rispetto alle garanzie sul trattamento e sulla privacy fornite dal social. Secondo il Garante, per esempio, Clubhouse non si allinea in nessun modo a quanto previsto dal Regolamento generale europeo per la protezione dei dati personali.
Il limite per l’uso è fissato a 18 anni ma non c’è alcun sistema per verificarlo e c’è da scommettere che anche su questo punto, come avvenuto per TikTok e le altre piattaforme, il garante si muoverà. Il problema è che al momento non si sa neanche con chi parlare, perché oltre alla base giuridica per il trattamento dei dati manca anche una rappresentanza europea a cui muovere questi rilievi. C’è inoltre un aspetto interessante, destinato a sollevare molti altri problemi: la voce è un dato biometrico che, in teoria, meriterebbe particolari tutele. Nulla, ovviamente, viene detto sul punto né sulle moderazioni dei contenuti.
Clubhouse, dal canto suo, ha spiegato di “essere profondamente impegnata nella protezione dei dati e della privacy degli utenti”, ricordando fra l’altro di non aver mai lanciato l’applicazione in Cina, dove è stata resa disponibile per poco tempo da altri e in modo non ufficiale, con possibilità di download.
Il social vocale ha appunto riconosciuto i problemi, spiegando per esempio che “per una piccola percentuale del nostro traffico, i ping di rete contenenti l’ID utente vengono inviati ai server di tutto il mondo, che possono includere server in Cina, per determinare il percorso più veloce verso il cliente”. E aggiungendo che “nelle prossime 72 ore implementeremo modifiche per aggiungere ulteriore crittografia e blocchi per impedire ai clienti Clubhouse di trasmettere ping ai server cinesi”. L’app ha inoltre in programma di coinvolgere una società di sicurezza esterna per proporre e convalidare queste modifiche.
Vedremo quindi se nei prossimi giorni arriveranno degli aggiornamenti alla privacy policy ed i chiarimenti richiesti dalle autorità di protezione o se, alla fine dei conti, sarà necessario cancellare gli account proprio come è successo per Houseparty.