In queste ore si è sollevato un vero e proprio polverone intorno al lancio del sito web voluto dal Governo e dal Ministero del Lavoro e delle Politiche Sociali. Su più testate giornalistiche abbiamo letto della presenza di falle nel sito che di fatto regalerebbero i dati degli utenti interessati a ottenere il cosiddetto “reddito di cittadinanza” ad aziende come Google e Microsoft, per di più imprese con sede principale fuori dai Paesi dell’Unione Europea.
Tutto è incentrato intorno all’utilizzo di codice Javascript di Google e Microsoft nelle pagine del sito ministeriale Reddito di Cittadinanza.
Parte del codice viene sfruttata per disporre il caricamento dei ben noti font di carattere di Google (vedere queste pagine), un’altra per disporre il caricamento di filmati gestiti attraverso la piattaforma cloud Microsoft Azure.
Il noto esperto Matteo Flora ha scritto: “Per i non addetti ai lavori, il Ministero ha deciso di “regalare” i dati di navigazione degli utenti sul sito a un ente terzo, per di più extra UE: Google. Per di più per due dannate FONT, che non servono davvero a nulla e che non danno alcun vantaggio di alcuna forma“.
Le eccezioni sollevate da Flora sono sicuramente valide e l’utilizzo delle fonti di carattere di Google deve essere indubbiamente citato nell’informativa sulla privacy. Google stessa, ha dichiarato di agire come data controller nella gestione dei dati provenienti dalle pagine web che usano le sue fonti di carattere.
È però altrettanto importante evidenziare quali dati possono essere letti da Google: dal momento che le chiamate ai server remoti dell’azienda di Mountain View sono integrate nelle varie pagine attraverso l’uso di codice JavaScript, l’azienda fondata da Page e Brin potrebbe registrare gli indirizzi IP dei client degli utenti, gli URL completi delle pagine web visitate ed eventualmente disporre la creazione di un cookie (come fanno molti network pubblicitari) incrociando i dati con altri servizi erogati da Google stessa.
In questa pagina ufficiale Google conferma di non fare nulla di tutto ciò: in particolare vengono raccolti solo il nome del font di carattere richiesto e quello del CSS (conservati peraltro per sole 24 ore) ma, a quanto pare, neppure l’indirizzo IP dell’utente che – come stabilito dai Garanti Privacy – è esso stesso dato personale. Inoltre, tiene a precisare Google, le fonti di carattere Google non impiantano alcun cookie sul dispositivo client: ciò è facilmente verificabile cancellando completamente la cache e utilizzando ad esempio gli Strumenti per sviluppatori di Chrome. Basta premere il tasto F12
quindi cliccare su Application quindi su Storage, Cookies.
In linea generale è corretto minimizzare il codice di terze parti inserito in un sito web e, da parte del webmaster, verificare attentamente come esso si comporta. Vi ricordate quello che avevamo scoperto a suo tempo a proposito del noto servizio di commentistica Disqus?
Come dimostrammo nell’articolo Disqus modifica la destinazione di alcuni link in modo arbitrario: attenzione, codice JavaScript di terze parti ben congegnato può accedere al DOM della pagina e, addirittura, leggerlo e modificarlo.
Un anno fa una semplice analisi delle risposte fornite dal portale Salute Lazio ha fatto emergere una falla di sicurezza, quella sì inquadrabile come tale, che permetteva di risalire ai dati personali, compresi indirizzo di residenza e nome del medico curante di ciascun assistito. Bastava semplicemente inserire il codice fiscale altrui per alterare la risposta del portale e ricevere un file in formato JSON con tutti i dati personali di altri soggetti.
Il team del CERT-PA intervenne rapidamente confermando il contenuto delle tante segnalazioni ricevute e l’effettiva risoluzione del problema.
È ovvio che pratiche sconsiderate, come ad esempio l’invio tramite richieste GET di dati personali, può esporre a problemi non da poco: codice di terze parti può rilevare il contenuto degli URL raccogliendo, memorizzando ed eventualmente riutilizzando le informazioni.
Nel caso del sito del Reddito di Cittadinanza non abbiamo trovato nulla di tutto ciò: non vengono certo passati a terzi nomi e cognomi dei cittadini potenzialmente interessati all’iniziativa; inoltre, anche se venisse tracciato l’indirizzo IP del client non è possibile desumere automaticamente che l’utente che visitasse quel sito fosse davvero interessato a richiedere personalmente o per i suoi familiari il Reddito di Cittadinanza.
Lo stesso utilizzo dei DNS pubblici di Google può mettere nelle mani dell’azienda di Mountain View una vasta schiera di informazioni: quanto meno gli indirizzi client degli utenti e i nomi a dominio da essi richiesti. Lo stesso Flora aveva sollevato il problema nel 2009 quando il servizio Public DNS di Google fu lanciato.
Le policy di Google escludono però in maniera molto chiara qualunque utilizzo di tali dati da parte dell’azienda: ne abbiamo parlato nell’articolo DNS Google, ecco come funzionano e perché sono utili. Di recente, inoltre, Google ha attivato il supporto DNS-over-TLS così da dare agli utenti la possibilità di crittografare tutte le richieste di risoluzione dei nomi a dominio: DNS Google aggiornati per supportare DNS-over-TLS e cifrare i dati.
Con questo non vogliamo certo ergerci a paladini di Google o di altre aziende over-the-top ma vorremmo esortare tutti gli attori a utilizzare un atteggiamento trasparente e collaborativo.
Le scelte più importanti sono ovviamente in capo ai webmaster e agli amministratori dei siti web che debbono verificare con attenzione i trattamenti di dati effettuati anche da parte di terzi (anche e soprattutto in ottica GDPR, indicandoli nell’apposita informativa e attenendosi al principio di minimizzazione) ma d’altra parte è opportuno che anche professionisti, giornalisti e utenti soppesino le problematiche eventualmente individuate con obiettività, chiamando “falle” quelle che effettivamente sono considerabili come tali. Senza semplificazioni eccessive e inutili generalizzazioni. La realtà è complessa e alcune problematiche che intersecano il tema della sicurezza con quello della privacy non possono e non devono limitarsi a trattazioni superficiali (come la nostra, ci mancherebbe. Abbiamo voluto però offrire qualche spunto di riflessione a nostro parere utile).