Assistenti vocali e smart home, esiste un “lato oscuro” negli IoT devices?

Sabato 6 Novembre 2021 di R. Ec.
Assistenti vocali e smart home, esiste un lato oscuro negli IoT devices?

Alexa, mettimi questa canzone”, “Ok Google, qual è il ristorante più vicino?”, “Hey Siri, ricordati questa posizione”. Sono a nostra disposizione 24 ore su 24, ci fanno da colonna sonora quotidiana, rispondono a dubbi e curiosità, aiutano i bambini a fare i compiti e ora ci danno una mano anche a gestire la casa, attivando le luci e gli elettrodomestici, innaffiando le piante, cucinando il riso o preparandoci il caffè. Sono gli smart speaker, quegli assistenti vocali che dai telefoni e i computer si sono spostati in altoparlanti autonomi, sempre più al centro della cosiddetta smart home, l'abitazione intelligente fatta di aspirapolvere robotizzati, televisori di ultima generazione e frigoriferi automatizzati. Tutto collegato in rete.

Ogni cosa è più semplice con i dispositivi del cosiddetto “Internet delle cose”, relativamente a basso prezzo e facilmente utilizzabili. Tuttavia in pochi si chiedono cosa stanno dando in cambio per ricevere tali servizi e quali rischi possa generare, per la privacy e lo sviluppo cognitivo di ciascuno, un loro utilizzo sempre più massiccio, amplificato dai vari lockdown a cui ci ha costretto la pandemia. Se ci si pongono determinate domande, insomma, il limite tra fantascienza che diventa realtà e distopia anticipata in alcuni casi può diventare sottile.

 

Domotica o smart home? Basta un tablet per vivere in una casa easy

 

Un business miliardario in evoluzione

Il mercato mondiale della smart home, secondo l'ultimo rapporto “Internet of Things nelle case italiane” di Tim, nel 2020 valeva l'incredibile cifra di 68 miliardi di euro, destinati quasi a raddoppiare da qui al 2023 (con un giro d'affari stimato in 110 miliardi). Amazon, Google, Apple, Microsoft, la cinese Xiaomi. I big del web, a capofila di una serie di aziende minori che cercano partnership, ci investono sempre di più. E al centro ci sono proprio loro, i dispositivi con assistente vocale, il cui business, secondo una ricerca dello scorso febbraio dell'Osservatorio Internet of Things del Politecnico di Milano, a fine 2020 valeva solo in Italia 105 milioni.

In tutto, poi, il 43% dei consumatori italiani possiede almeno un oggetto smart e tra questi due su tre dichiarano di utilizzarlo spesso. Mentre “solo” il 14% dei possessori di dispositivi con assistenti vocali li utilizza per gestire altri IoT devices dentro casa. «Ma anche da noi – spiega a Il Messaggero Giulio Salvadori, direttore dell’Osservatorio del Politecnico – quello della smart home è un giro d'affari in rapidissima ascesa. Nel 2016 valeva 185 milioni, oggi quella cifra è quasi triplicata, con il 2020 che ha segnato una lievissima discesa nel complesso, ma non per gli smart speaker, cresciuti del 10% anche grazie alle chiusure Covid, che ci hanno costretti in casa, aumentando l'interesse e l'interazione con il digitale».

I dati dell'Osservatorio Internet of Things

 

Echo Show 15, il nuovo "cuore" della casa intelligente: organizzazione e intrattenimento per tutta la famiglia

 

Le aspettative per l'anno prossimo, così, diventano elevate. «Anche se è difficile da stimare ad oggi– ci dice – prevediamo un netta ripresa. Alexa di Amazon sarà probabilmente ancora in prima fila, perché in grado di superare tutti per la quantità e la qualità dei servizi che offre. Segue Google Home». Salvadori conferma poi che è plausibile la stima di Tim di un aumento del mercato italiano dei prodotti per la casa intelligente del 100% da qui al 2023, con le vendite di smart speaker che potrebbero arrivare a valere circa 230 milioni.

 

La profilazione dei clienti

Ma fornire certi servizi a prezzi bassi vorrebbe dire fare un investimento che non frutta. «I più noti altoparlanti intelligenti– ci dice Marco Martorana, presidente di Assodata, associazione di categoria d'eccellenza in materia di privacy- costano intorno ai 30 euro, ma solo 'di plastica e fili' ci sono 25 euro di materiale, a cui si devono sommare i costi di software, aggiornamento, gestione dei server e assistenza. Vuol dire che il prodotto non è quello, ma i dati sulle preferenze e le abitudini dei clienti, opportunamente profilati».

Gran parte del business di Google, ad esempio, viene dall'advertising, cioè la pubblicità. Si tratta però per gli IoT devices della stessa cosa che potrebbe avvenire con social network e motori di ricerca? Non proprio. «I big del web – spiega Giulio Salvadori – vogliono entrare con questi strumenti all'interno delle case, per capire in maniera più precisa le abitudini delle persone, sfruttando il fatto che spesso non ci rendiamo conto di mandare dei dati in rete». Secondo il Garante della privacy italiano “gli assistenti digitali possono raccogliere e memorizzare molti dati personali, non solo relativi all’utilizzatore diretto, ma a chiunque si trovi nello stesso ambiente - riguardanti, ad esempio: scelte, preferenze e abitudini relative a stili di vita, consumi e interessi; caratteristiche biometriche; geolocalizzazione (percorsi abituali o frequenti, domicilio, indirizzo del posto di lavoro); stati emotivi”.

Video

Su grandi quantità di dati algoritmi di machine learning, come spiega la psicologa sociale e filosofa Shoshana Zuboff nel suo bestseller del 2019 “Il Capitalismo della sorveglianza”, sono in grado di elaborare i cosiddetti “prodotti predittivi”, cioè stime sul comportamento futuro di utenti con determinate caratteristiche, da utilizzare per produrre pubblicità il più possibile personali o modulare dei servizi, anche stimolando nuovi desideri di mercato. In pratica quel calcolo dei big data realizzato oramai da quasi tutte le grandi aziende dei paesi più industrializzati, da cui deriva un grande profitto (ad esempio una nota compagnia telefonica italiana quest'anno ha aumentato di 2 euro le tariffe mensili per alcuni clienti basandosi su analisi di mercato con previsioni degli algoritmi). Con gli smart speaker, poi, «tramite il machine learning – aggiunge a Il Messaggero Agostino Ghiglia, componente del Garante della privacy a volte vengono già indotte delle scelte. Negli Stati Uniti ad esempio c'è un assistente domotico che ti aiuta a optare per l'abbigliamento più adatto».

Amazon, però, ci spiega che non si occupa di «vendere i dati personali dei clienti, vengono utilizzate le registrazioni vocali per pubblicare annunci». Similmente Google promette di «non vendere né ora né mai alcuna informazione personale a terzi per attività come pubblicità mirata, di tenere le registrazioni audio separate dalla pubblicità e non usare questi dati per la personalizzazione degli annunci». Gli annunci mostrati su Google riguardano servizi della stessa società, ma anche siti e app che ci collaborano per pubblicare inserzioni. Si possono disattivare tutti gli annunci personalizzati, ma questi, ci ricorda l'azienda «possono ancora essere mirati con informazioni come la vostra posizione generale o il contenuto del sito web che state visitando».

 

Il Gdpr europeo e i suoi limiti

Legalmente parlando tutto ciò è legittimo seguendo le leggi europee, che sono le più avanzate al mondo. Secondo il regolamento comunitario del 2016 sulla protezione dei dati, il noto Gdpr, l'azienda fornitrice deve produrre un'informativa sulla privacy chiara, semplice e concisa, con le finalità del trattamento, che l'utente deve poter accettare. Accanto a questa ci sono sempre almeno le condizioni e i termini d'uso dell'assistente vocale e di tutti i servizi associati, così da arrivare in molti casi a decine e decine di pagine di contratti. Su questi documenti è specificato che le aziende, se si accetta, nel caso degli smart speaker registrano per decine di secondi quanto dicono i clienti dopo aver pronunciato alcune parole di attivazione. Le registrazioni viaggiano tra i server e finiscono nei cloud, dove va garantito l'anonimato per i dati sensibili. In maniera casuale, a estrazione (e dicono le big del web senza collegarle ai clienti), le registrazioni possono essere ascoltate da alcuni addetti con la finalità dichiarata di migliorare e ampliare il servizio. Le società, infine, possono condividere con terze parti alcuni dati che raccolgono, sempre con il dovere di preservare quelli sensibili.

Uno smart speaker e un iPhone


Jeff Bezos batte Elon Musk: con 211 miliardi di dollari è il paperone del mondo
 

«In generale– ci spiega Anna Maria Mandalari, ricercatrice italiana specializzata in IoT devices che lavora all'Imperial College di Londra – avendo di fronte più di un documento e tante pagine da visualizzare, chi compra tende a dare il consenso a tutto senza leggere. Mentre poi con Google e Amazon si possono spuntare diverse funzioni che non si desiderano, per altre società, ad esempio cinesi, o si accetta tutto il pacchetto o lo strumento non si può utilizzare».

Secondo lo stesso Gdpr, poi, si può esercitare il diritto di accesso, cioè chiedere all'azienda di fornire un report trasparente che dica quali informazioni sono in loro possesso e con chi sono state condivise. «In ogni caso però – secondo Mandalari – non si viene a conoscenza dei precisi dettagli sul meccanismo di profilazione, che per legge l'azienda non è tenuta a fornire». Esiste poi il cosiddetto diritto all'oblio, cioè la possibilità di chiedere la cancellazione dei dati raccolti, che dispositivi come Alexa e Google Home propongono autonomamente con una funzionalità di eliminazione delle registrazioni. Tuttavia, dice la ricercatrice a Il Messaggero, «possiamo solo affidarci all'etica aziendale, perché non possiamo sapere se effettivamente vengono cancellati tutti i dati da tutti i server, compresi i backup, e se a quel punto le informazioni sono state già profilate e condivise o meno». Le autorità garanti della privacy europee, per l'eventuale risoluzione di un reclamo amministrativo, possono acquisire materiale, ma tramite una richiesta di trasmissione dei dati contenuti nei server, senza entrarvi direttamente. Cosa che invece si può fare sul lato penale su fatti oggetto di indagine, ma, essendo i server per lo più fuori dall'Ue, solo tramite una rogatoria internazionale e in presenza di un accordo bilaterale con il Paese dove sono i server. Con tempi lunghi e poche garanzie di successo, vista la possibilità di spostare i dati.

 

Destinazioni “evitabili”?

La dottoressa, assieme ai colleghi Hamed Haddadi dell'Imperial College, ma anche Daniel Dubois e David Choffnes della Northeastern University di Boston, per due anni e mezzo ha studiato 200 IoT devices della smart home, tra cui tutti i maggiori smart speaker. Quello che i due team di ricerca hanno scoperto è che in media circa il 60% delle destinazioni, cioè le connessioni di rete (il cui contenuto è criptato), sono tecnicamente “evitabili”. Non servono cioè per la semplice funzionalità del servizio e ci sono collegamenti con domini riservati a servizi di tracking e advertising. Secondo le big del web, però, il traffico aiuta i dispositivi a funzionare meglio, perfezionando anche la distribuzione dei contenuti.

Video

Un'altra scoperta dei team è che la maggior parte del traffico di questi strumenti finisce in Cina o negli Stati Uniti, dove si trovano i server. Nella prima è stata appena approvata una legge sulla protezione delle informazioni personali che trae ispirazione dal Gdpr, ma è più debole, nei secondi non c'è alcuna norma federale unitaria in materia. Se i dati sono presi in Europa vanno mantenuti nel Continente e trattati sempre con le nostre leggi? «Dipende – ci dice Agostino Ghiglia del Garante- se io raccolgo i dati in Europa devo tenerli qui a meno che non si realizzi una specifica esecuzione del contratto, che non è trattabile da noi. Ma è chiaro che in ogni caso non si possono ad esempio usare dati sensibili per fare pubblicità».

 

Le attivazioni indesiderate

Lo scorso luglio il Garante della privacy del Lussemburgo ha multato Amazon per 746 milioni di euro per violazione del Gdpr. Le motivazioni, in attesa dell'appello promosso dall'azienda di Seattle, non ci sono, ma l'impianto accusatorio si basa sul modo in cui Amazon mostra ai clienti «pubblicità rilevante». Tuttavia, si difende l'azienda, sarebbero «interpretazioni soggettive e non verificate della normativa europea, mentre non c'è stata alcuna violazione dei dati e nessun dato dei clienti è stato esposto a terzi». Contemporaneamente un tribunale della California ha validato l'avvio di una class action contro Siri di Apple. Ora un gruppo di cittadini americani proverà a dimostrare la loro tesi secondo cui l'assistente vocale avrebbe registrato per errore alcune conversazioni private, con la società di Cupertino accusata di condividere le conversazioni con inserzionisti di terze parti. Questo nonostante le smentite ufficiali dell'azienda e la sua recente politica di trasparenza per dare ai clienti più potere di scelta sui dati raccolti dalle app sugli iPhone.

 

Smart home, tra i vantaggi c'è quello del risparmio

 

Esponendo per mesi Echo plus e Echo dot di Amazon, Google home, Invoke di Microsoft e HomePod di Apple a vari contenuti Netflix, con i dispositivi attaccati alla corrente il microfono in stand-by, il team della dott.ssa Mandalari si è in effetti accorto che si verificavano diverse attivazioni per errore, ascoltando anche solo suoni simili alla parola chiave. A volte anche più di 10 volte al giorno per un singolo dispositivo. Le aziende, però, ci spiegano che stanno facendo di tutto per migliorare il funzionamento degli smart speaker, con vari sistemi di protezione che si evolvono al crescere delle interazioni. Sperando in un'attivazione indesiderata, tuttavia, nel 2019 la polizia di Broward, in Florida, aveva chiesto e ottenuto le registrazioni di un dispositivo Alexa per cercare prove su un omicidio.

 

Possibili “falle”?

Sempre sul dispositivo di Amazon uno studio dell'inizio di quest'anno della North Carolina State University, con la collaborazione di Google, analizzando 1.146 skill (i servizi vocali) fornite da terzi, ha scoperto che il 23,3% circa di quelle che richiedevano un accesso ai dati dei clienti non forniva informative sulla privacy, oppure queste erano incomplete o fuorvianti. Inoltre i nomi degli sviluppatori che accompagnavano le app non sarebbero stati sempre verificati. Problemi che in parte l'azienda di Seattle ha riconosciuto e su cui ha detto di star lavorando per risolverli. «Conduciamo revisioni della sicurezza – ci spiega un rappresentante - come parte del processo di certificazione delle skill e disponiamo di sistemi per monitorarle in tempo reale. Ogni applicazione che viola la legge una volta identificata viene bloccata o disattivata».

Si dice però nelle condizioni d'uso di Alexa che, se dai il consenso informato per utilizzare “un servizio di terzi, potremmo scambiare alcune informazioni con quel servizio, come il tuo codice di avviamento postale quando chiedi informazioni sul tempo o il contenuto delle tue richieste senza identificarti”. E ancora: “se la tua richiesta è stata elaborata da una skill di Alexa, la cancellazione delle registrazioni non comporterà l’eliminazione delle informazioni in possesso dello sviluppatore della skill”. Nel 2018, inoltre, un ricercatore della compagnia di sicurezza Tripwire aveva scoperto che c'era un bug nei dispositivi Home di Google, sfruttando il quale alcuni malintenzionati avrebbero potuto farsi inviare la posizione precisa degli utenti. L'azienda è quindi intervenuta con un aggiornamento che ha risolto il problema. Una telecamera intelligente di una società minore, invece, come ha rilevato il team della dottoressa Mandalari, fa una sorta di attacco hacker per prendere dati dagli altri dispositivi all'interno della casa. Una simile di Xiaomi, infine, invia informazioni temporali e video non criptati a un server in Cina.

Falle” come queste potrebbero far sì che soggetti con finalità opache possano sfruttare i dispositivi per truffe con furto di dati o forse anche qualcosa di peggio. «In generale – chiosa Mandalari- se le società non curano nei dettagli la sicurezza e se i governi non intervengono con regolamentazioni più stringenti non si possono escludere nuovi scandali futuri come Cambridge Analytica (che raccolse i dati personali di milioni di account Facebook in maniera indiretta e senza consenso, usandoli per indirizzare le elezioni negli Stati Uniti ndr). Ma il pericolo potenziale è anche un utilizzo illecito di dati per fini terroristici».

 

L'approccio psicologico: «È come un altro essere vivente»

Ad aumentare le preoccupazioni c'è poi l'approccio psicologico di molti utenti nei confronti degli IoT devices e in particolare degli smart speaker. «Quando sei al computer o al cellulare devi operare, quindi ti rendi conto di inviare informazioni – ci dice Rosalinda Cassibba, professoressa di psicologia dello sviluppo e dell’educazione all'Università di Bari - con lo smart speaker è come avere l'amico immaginario che fa parte della tua sfera privata. Ci puoi parlare, hai l'impressione che nessuno ti senta e ti senti assecondato. Questo ti porta potenzialmente a fornire più informazioni rispetto a quelle che si danno in altri contesti».

Discorso valido soprattutto per i bambini. «Secondo una teoria di Jean Piaget – sostiene la professoressa- nei piccoli fino ai 5/6 anni il pensiero è intriso di egocentrismo cognitivo, che è associato all'animismo e al finalismo. Il bambino pensa che tutto ruoti attorno a lui e attribuisce un'anima anche a ciò che è inanimato. Ovviamente questo si amplifica per strumenti come gli smart speaker. Poi anche quando, crescendo, si supera l'idea che sia una persona, è plausibile che resti l'impressione di poter fare affidamento su questi strumenti». Da qui i rischi. «Può darsi – conclude Cassibba- che i ragazzi perdano alcune competenze e ne acquisiscano altre che vanno bene per l'adattamento, ma non è detto. Il pericolo è l'impoverimento di alcune funzioni cognitive, soprattutto perché si ottengono aiuti e indicazioni subito, senza i limiti da superare nel percorso di apprendimento».

 

Le prospettive future

Con queste premesse, dunque, quali evoluzioni future si possono prevedere per gli smart speaker e gli IoT devices? Di certo sì sa che aziende come Amazon possiedono patenti di proprietà per trasformare la voce in preferenze generali e di consumo dell'utente o che, sempre a partire dalla voce, studiano le caratteristiche fisiche ed emotive degli utenti. Le società sostengono di non utilizzarle sulle registrazioni realizzate dagli smart speaker, tuttavia, secondo l'avvocato Martorana «è chiaro che, associando quanto si chiede allo stato emotivo ed altre informazioni legate all'ambiente circostante al cliente, si potrebbe ad esempio costruire la pubblicità perfetta». Secondo il presidente di Assodata la profilazione non è tuttavia ancora arrivata ad essere così dettagliata, ma è noto che le big del web vogliano spingere verso "un'intelligenza ambientale" con più strumenti IoT utilizzati assieme dall'utente e meno interazioni con il singolo smart speaker.

Video

Intanto, però, c'è chi è convinto, come la professoressa Zuboff, che la pubblicità sia solo “l'inizio e non la fine di un progetto di sorveglianza”. Secondo la studiosa americana il nuovo orizzonte delle big del web è il cosiddetto “business della realtà”, cioè uno scenario in cui “i processi delle macchine vengono configurati per intervenire direttamente nel mondo reale per produrre un comportamento che conduca a risultati commerciali desiderati”. Uno degli esempi che porta Zuboff è un software dell'azienda americana di automotive Spireon. Il suo sistema di noleggio con gestione collaterale “allerta i conducenti quando sono in ritardo con i pagamenti, disabilita l'auto quando le violazioni superano un periodo determinato e localizza il veicolo per il pignoramento”. Con tecnologie del genere, se implementate da brevetti già esistenti, per la filosofa, “le compagnie assicurative possono ottimizzare il prezzo delle assicurazioni in base a parametri specifici, fissati da loro, per il comportamento alla guida”.

 

Cosa possono fare gli utenti

«Cosa succederà – si allarma però Mandalari - quando queste macchine diventeranno protesi cognitive, che ci aiuteranno nelle nostre scelte e sapranno prima di noi cosa vogliamo? Dove finisce la volontà di un individuo?». Di rischi del genere, per Salvadori del Politecnico di Milano, «le persone non hanno troppa consapevolezza e anche sulla sola privacy secondo i nostri sondaggi in Italia chi si dice preoccupato dagli smart speaker nel 2020 era il 45%, contro il 54% del 2019».

 

Alexa e Siri, le assistenti vocali ora vigilano sulla salute

 

Secondo Martorana «cercare di correre dietro con le norme alle tecnologie è difficile, così come è altrettanto rischioso cercare di bloccarle, visto che sono anche molto utili. Per questo serve prima di tutto maggiore consapevolezza da parte degli utenti e maggiore informazione a partire dalla cultura e dalla scuola». Sul suo sito il Garante italiano propone una serie di consigli pratici per evitare alcuni possibili problemi di privacy con gli smart speaker, tra cui: disattivarli quando non li si usa; verificare che la crittografia della rete Wi-Fi sia impostata sul protocollo di sicurezza Wpa 2; cambiare periodicamente la password degli account creati; verificare se sul dispositivo siano presenti anti-virus.

Intanto, però, il team della dottoressa Mandalari si muove sul lato tecnico e ha sviluppato un software, IoTrimmer, che blocca tutte le connessioni di rete non indispensabili di molti IoT devices. Il progetto è stato selezionato da Deutsche Telekom tra le cinque migliori soluzioni per la smart home. «Ha funzionato su 31 dispositivi – racconta la ricercatrice– e i provider di internet potrebbero mettere il codice direttamente nei router di internet. Ora, poi, stiamo studiando un'interfaccia grafica in modo tale che l'utente possa scegliere e decidere quali destinazioni tenere. Finalmente il potere tornerebbe in mano al cliente». Un futuro in cui l'intelligenza artificiale è al servizio di tanti e non di pochi, insomma, è sempre possibile.

Ultimo aggiornamento: 12 Novembre, 02:50 © RIPRODUZIONE RISERVATA