Home>News>Approfondimenti, Cloud, E-commerce, Internet of Things, Localization, Marketing, Minori, Security & Cybercrime, Smart Device, Videosorveglianza>Giocattoli smart a rischio privacy: servono controlli e tanta consapevolezza

Giocattoli smart a rischio privacy: servono controlli e tanta consapevolezza

dott. Marco Massimini – Amministratore e consulente di Privacy.it

Pubblicato in data 15-01-2018

Ci sono smart toys che trattano e rivendono dati dei nostri figli. E che possono essere hackerati. La Legge deve fare la sua parte, ma i grandi devono imparare a soppesare in anticipo l’impatto privacy della rivoluzione in atto.

Durante l’ultima corsa ai regali natalizi, molti di noi si saranno resi conto che è in atto un’invasione di giocattoli “smart”. Niente di che stupirsi: la tecnologia sta penetrando qualsiasi comparto merceologico e, quindi, ogni aspetto della nostra esistenza. Molti degli oggetti che riempiono tipicamente la nostra vita si stanno trasformando in IoT (Internet of Things) acquisendo caratteristiche di connettività, interazione personalizzata, e – talvolta – di intelligenza artificiale.

Normale, dunque, che anche alcuni giochi presentino funzionalità “smart” e che siano connessi ad Internet. D’altronde, sono oggetti pensati per una generazione di nativi digitali, bimbi che spesso imparano ad aprire un app su un tablet o a scorrere la galleria di foto sul cellulare di papà prima ancora di camminare (nota a margine: il sottoscritto non può dimenticare quando scoprì sua figlia di un anno che, con un magazine cartaceo tra le mani, cercava di andare oltre l’immagine di copertina scorrendo ripetutamente il dito da destra verso sinistra sulla superficie della pagina).

Il problema è che alcuni di questi balocchi dall’anima digitale sono tanto intelligenti e zelanti nell’attività di interazione (e, talora, di profilazione), quanto stupidi nel proteggere l’immane quantità di informazioni che raccolgono.

Nel presente scritto, intraprenderemo un piccolo viaggio attraverso le insidie che possono nascondersi dietro alcuni giocattoli iper-connessi: tra trattamenti di dati eccessivi o nascosti e vulnerabilità informatiche, scopriremo che regalare un cucciolo interattivo che via cloud sente, vede e registra tutto quello che accade intorno a sé non è la stessa cosa che far trovare sotto l’albero un buon vecchio peluche di stoffa.

Alla fine scopriremo che – in attesa di controlli a tappeto e regolamentazioni più stringenti – sta ai genitori diventare più “smart” degli Internetconnected toys valutando l’acquisto con attenzione e consapevolezza, e – se proprio non si può fare a meno di regalare un oggetto del genere – monitorandone l’utilizzo.

Il caso VTech

Partiamo dalla cronaca più recente. L’8 gennaio 2018 la Federal Trade Commission (FTC) ha annunciato di avere trovato un accordo con la produttrice di giocattoli VTech Electronics di Hong Kong (con filiali anche negli USA) accusata di non aver tutelato i diritti di privacy dei clienti.

VTech dovrà pagare 650.000 dollari di sanzione per la scadente sicurezza delle Internet of Things ludiche che trattano i dati dei bambini e per la scarsa/fuorviante informazione ai genitori circa le politiche di privacy applicate.

La decisione arriva dopo due anni di investigazione a seguito di un grave data breach che colpì VTech nel 2015.

I giocattoli elettronici e connessi di Vtech (tra cui tablet, telefoni, smart dolls, action cam e baby monitor) basano le proprie funzionalità avanzate su un online store (Learning Lodge) dove i genitori possono scaricare, oltre a ebook e giochi, varie applicazioni interattive; tra queste, un app chiamata Kid Connect che permette ai bambini di comunicare con gli smartphone dei genitori tramite, ad esempio, il tablet o lo smartwatch giocattolo.

Nel 2015 un hacker riuscì facilmente ad introdursi nei database VTech contenenti i dati rilasciati dagli utenti nonché quelli raccolti in modo automatizzato dalle funzioni interattive dei giocattoli. L’hacker comunicò il successo della propria intrusione ad un giornalista della testata Vice, sottolineando la facilità con cui era riuscito a penetrare i sistemi (fu sufficiente una “classica” SQL Injection) e fornendo prove circa l’ampiezza del materiale di cui era entrato in possesso, tra cui:

  • dati (nome, cognome, indirizzo, password, contatti e-mail e telefonici) dei genitori e dati dei figli (nome, cognome, sesso, età, preferenze);
  • 190 gigabytes di fotografie di adulti e bambini;
  • diversi anni di conversazioni in chat scambiate tra genitori e figli attraverso i dispositivi;
  • i file audio registrati dai giocattoli.

L’hacker – successivamente arrestato nel Regno Unito – dichiarò a Vice di non essere intenzionato a rendere pubblici i dati e di non voler rivendere i dati a terzi o usare il bottino della sua operazione contro VTech e i suoi utenti; aveva agito mosso dalla curiosità di testare la sicurezza dei sistemi dell’azienda. L’attaccante non mancò di definirsi inorridito della quantità e del tipo di dati di cui era riuscito ad impossessarsi, denunciando la negligenza di VTech e l’assenza di adeguate misure a protezione di questo genere di informazioni.

Una volta che Vice rese di pubblico dominio il data breach, VTech fu costretta ad ammettere che 4.854.209 account appartenenti a genitori e 6.368.509 profili appartenenti a bambini erano stati compromessi.

La sanzione emessa dalla FTC si basa sulla violazione del Children’s Online Privacy Protection Act (COPPA) del 1998 che attribuisce ai titolari di servizi online rivolti ai bambini specifiche responsabilità in merito alla raccolta di informazioni personali e alla privacy. Più che sui potenziali danni derivanti dal data breach, la FTC ha punito VTech per non aver adeguatamente informato i genitori circa i dati raccolti e le modalità di trattamento come prescritto dal COPPA.

Inoltre, la Commissione federale ha contestato la violazione dei principi di trasparenza e correttezza stabiliti dal FTC Act (la legge americana a protezione del mercato e dei consumatori) “per aver falsamente affermato nella propria Privacy Policy che qualsiasi informazione raccolta sarebbe stata crittografata, quando in realtà non lo era”. Più in generale, secondo la FTC, “i convenuti si sono impegnati in una serie di pratiche che, nel loro insieme, non sono riuscite a fornire una sicurezza dei dati ragionevole e appropriata per proteggere le informazioni personali raccolte dai consumatori, compresi i bambini tramite Kid Connect ”.

Smart toys: molti dati, ma poca trasparenza e sicurezza?

E’ la prima volta che la FTC emette una sanzione in materia di smart toys. Probabilmente non sarà l’ultima, perché il mercato dei giocattoli intelligenti è in piena espansione ed è destinato a dominare un mercato destinato a generazioni native digitali. E non sempre questa espansione è (o sarà) accompagnata da:

  • un’adeguata protezione dell’ingente quantitativo di dati che queste IoT sono in grado di raccogliere;
  • una comunicazione trasparente verso i genitori.

Il mondo dei giocattoli è cambiato in pochi anni, e forse non tutti ce ne siamo resi conto. Oggi nelle camerette dei nostri figli potrebbe esserci una Barbie parlante che registra la vita dei nostri piccoli, oppure il baby monitor con intelligenza artificiale che cresce e dialoga con i nostri figli fino all’adolescenza (profilando e tracciando tutto via cloud).

Nel febbraio 2017, la Germania ha bandito la bambola interattiva My Friend Cayla delle Genesis Toys suggerendo addirittura ai genitori di distruggerla. Il microfono interno di Cayla era facilmente accessibile da remoto, consentendo – così – a potenziali malintenzionati di ascoltare i bambini tramite una sorta di intercettazione ambientale. Ma non solo. L’associazione dei consumatori norvegese, dimostrò in un video che:

  • chiunque avrebbe potuto introdursi nel sistema e parlare al bambino tramite Cayla;
  • le complicatissime Terms and Conditions del giocattolo avrebbero permesso al produttore di archiviare le registrazioni effettuate dal bambino (che la bambola invia ad un server in Massachussets), di utilizzarle per inviare messaggi di pubblicità mirata (= il bimbo è costantemente profilato), di condividerle praticamente con qualsiasi società terza, di modificare le Condizioni di utilizzo dei dati in qualsiasi momento senza avvertire il consumatore;
  • le medesime preoccupazioni riguardano il robottino I-Que, prodotto dalla stessa Genesis.

Sempre nel febbraio 2017, l’esperto di cybersecurity Troy Hunt testò la sicurezza dei dati raccolti dai peluche interconnessi dal nome significativo CloudPets riuscendo agevolmente ad accedere – grazie alla povertà del sistema di autenticazione utilizzato dal produttore – ad oltre 2 milioni di file vocali registrati dai bimbi.

Un’analisi di reverse engineering del simpatico animaletto Furby Connect di Hasbro ha rivelato quella che era la scarsa sicurezza a protezione di un device in grado di ascoltare e guardare tutto ciò che gli accade intorno. C’è poi Toy-Fi Teddy che può essere utilizzato per inviarsi messaggi vocali via Internet: il problema è che qualsiasi possessore di smartphone che si trovi nelle vicinanze dello smart toy può inviare messaggi al bambino e ascoltare le sue risposte. Potremmo andare avanti ancora un po’, elencando altri giocattoli che non solo non sono stati progettati secondo una logica di “privacy by design” e di “privacy by default” (come ci si aspetterebbe da una tecnologia dedicata ai più piccoli), ma che hanno evidenziato gravi cyber-vulnerabilità.

Un aspetto preoccupante della vicenda è che tutte le rivelazioni concernenti un’eccessiva capacità di invasione della sfera privata dei minori o riguardanti la pessime dotazioni di cybersecurity dei device loro affidati, sono scaturite da esperti privati, hacker o da associazioni di consumatori.

E’ bene ricordare che stiamo parlando di creature piccole, inconsapevoli ed indifese. Forse, data la delicatezza degli interessi in gioco, sarebbe opportuno che le Autorità nazionali – anche tramite accordi internazionali – approntassero un sistema più stringente di controlli e test preventivi degli smart toys che, magari, certifichino i prodotti secondo standard condivisi di data privacy & data security prima ancora che essi possano essere messi in commercio (non solo sugli scaffali di un negozio ma anche online).

Se un gioco presenta qualche rischio per la salute di un bimbo, il produttore è obbligato ad esporre un avviso, un parental advisory. Non sarebbe il caso di approntare una messaggistica simile anche per lo smart toy effettua un trattamento “spinto” di dati personali?

Prima di comprare, facciamoci qualche domanda

Nelle more di una regolamentazione più profonda e di un sistema di controlli preventivi e indefettibili, sta al genitore farsi qualche domanda prima di regalare un giocattolo altamente interattivo al proprio figlio.

Gli interrogativi possono essere, innanzitutto, di natura pedagogica. Molti smart toys sono studiati per far breccia nell’emozionalità dell’infante e puntano, più o meno esplicitamente, a creare un rapporto di dipendenza fino, talvolta, a diventare il feticcio da cui il bimbo non vuole più staccare.

E’ ragionevole che un bimbo piccolo interagisca per gran parte del tempo con un’azienda e con gli algoritmi di intelligenza artificiale da questa creati?

La giornata tipica di un bimbo presenta molte ore di stimolazione e raffronto con il mondo esterno; gran parte della sua giornata trascorre tra asilo/scuola e attività post-scolastiche. Una volta a casa, spesso i piccoli chiedono di vedere la tv, forse per isolarsi ed avere un break dalla socialità: ma è un altro bombardamento sensoriale. Ai bambini è rimasto poco tempo per giocare da soli. In quel poco tempo rimasto, non è meglio che l’infante goda dalla disponibilità di giochi inerti per permettergli di sviluppare in totale autonomia la propria capacità di riflessione, di attenzione e concentrazione, l’attitudine al problem solving, la propria manualità, la propria fantasia, la propria inventiva? I nostri figli vivranno in una società iper-connessa, non è il caso di concedere loro un’infanzia quanto più possibile offline?

Il salutare sviluppo dell’indole soggettiva – e quindi, originale e creativa – di un piccolo individuo non dovrebbe passare anche tramite pause dall’interazione con terzi (persone o automi intellgenti che siano)? Le maestre, i genitori, gli amichetti, la televisione, il tablet di mamma… ed ora anche il peluche e il robottino che vogliono interagire “personalmente”: lo spazio per giocare veramente da soli e “in silenzio” (senza altrui stimolazione), incomincia a diventare merce rara.

Riguardo l’impatto dei giochi ad alta connettività sul percorso di crescita dei più piccoli, è meglio che si esprimano i professionisti della psicopedagogia. Ma qualsiasi genitore è in grado di comprendere che alcuni giochi possono aggiungere stimoli utili allo sviluppo, ma anche di sottrarre elementi forse più importanti. E il solo fatto che si debbano soppesare benefici e rischi di certi smart toys è sintomatico: un giocattolo non dovrebbe, quasi per definizione, solamente contribuire?

Comprare uno smart toy nell’epoca dell’e-commerce

Al netto dell’etica e alle scelte educative di ciascuno, ci sono alcuni fattori “ambientali” – questi sì, oggettivi – che un genitore deve mettere in conto qualora sia intenzionato a comprare uno smart toy.

Il primo fattore “ambientale” da valutare è riconnesso al fatto che viviamo nell’epoca dell’e-commerce. Molti acquisti sono ormai effettuati online. In Italia, nel 2017 le vendite via web sono cresciute del 16% rispetto all’anno precedente (e dire che noi siamo ancora affezionati ai negozi fisici, in Cina si viaggia sull’80% di incremento annuale!).

Ai fini della nostra analisi, lo spostamento sul web della nostra attitudine all’acquisto è rilevante perché modifica il nostro rapporto con la merce. Le vetrine e-commerce possono presentare beni scarsamente selezionati, di dubbia provenienza, riguardo i quali spesso non è possibile leggere in anticipo istruzioni e condizioni d’uso (o non sono disponibili in lingua conosciuta dall’acquirente) e la cui qualità potrà essere da noi testata solo una volta che si è pagato e che la spedizione è arrivata.

Si azzera, in altre parole, qualsiasi forma di controllo “percettivo”, individuale e preventivo. Tutto questo può non costituire un problema se parliamo, ad esempio, dell’acquisto di un paio di scarpe per noi. Ma se si tratta di un gioco che deve interagire con il nostro bimbo (che non può riconoscere rischi né difendersi), in caso di acquisto online dovremmo raddoppiare l’attenzione ad ogni dettaglio, specie se non è chiara la provenienza del giocattolo.

C’è, inoltre, un’insidia psicologica da non sottovalutare. Oggi i portali e-commerce praticano condizioni molto agevoli per il restituzione della merce non gradita: diversi operatori ritirano il reso a casa, senza costi aggiuntivi e con immediato rimorso di quanto speso. Per questo, i “grandi” comprano sul web con maggiore leggerezza: il pentimento non ha conseguenze. Ma quando parliamo di una regalo di natale o di compleanno per un pargolo, bisogna tenere conto che lo scenario è diverso: una volta che diamo un super-gioco a nostro figlio, sarà un’impresa strapparglielo di mano qualche giorno dopo dicendogli “mi spiace: ho capito solo ora che è pericoloso”.

Cerchiamo, dunque, di sviluppare un’attitudine al “controllo qualità” dei prodotti venduti online: dovremo saper, per quanto possibile, riconoscere in anticipo la qualità del gioco e delle sue prerogative, nonché saper valutare le possibili ricadute in termini pedagogici e di sicurezza una volta che lo smart toy sarà diventato il miglior amico di nostro figlio.

Comprare uno smart toy nell’era della profilazione

Alcuni trastulli elettronici di ultima generazione, per funzionare a dovere, hanno bisogno di processare i dati personali rilasciati dal bimbo durante il gioco: ascoltano, registrano ed elaborano informazioni in modo continuativo per migliorare e customizzare il livello di interazione e per alimentare un’intelligenza artificiale che deve crescere nel tempo.

I genitori devono essere consapevoli che, con tutta probabilità, qualcuno (il produttore e i suoi partner commerciali) utilizzerà queste stesse informazioni per profilare l’utente e per eseguire su di esso attività di targeted advertising. Un intento, questo, che in linea generale è normale, oltre che legittimo: oggi i dati personali derivanti da un acquisto rappresentano un patrimonio su cui architettare strategie per generare una seconda ondata di profitti nella fase after-sale.

L’importante è che il produttore sia chiaro e trasparente nel veicolare agli acquirenti i propri intenti di marketing, esplicitando che il profilo sarà alimentato non solo grazie ai dati iniziali – dati di acquisto ed eventuali di setup del giocattolo (preferenze, impostazioni via app, etc.) – ma anche con dati derivanti dall’utilizzo in itinere del device.

Noi genitori dobbiamo essere consci di tutto questo e, nel caso, chiederci se la cosa sia opportuna: è proprio necessario che parole, pensieri, voci, immagini e abitudini dei nostri bambini finiscano in server remoti per essere costantemente analizzati a fini di profilazione? Siamo consapevoli che talora, se non leggiamo bene le condizioni contrattuali, i profili consumer dei nostri piccoli possono essere venduti ad aziende terze di modo che queste possano veicolare (magari anche attraverso la vocina o lo schermo dello stesso fidato smart toy che giace nelle mani dell’infante) messaggi pubblicitari mirati anche di natura subliminale?

I Garanti Privacy europei su questo punto si stanno muovendo. Nelle Linee Guida in tema di processo decisionale automatizzato e profilazione (v. qui un commento di Privacy.it) emesse ad interpretazione di alcune norme del Regolamento europeo 2016/679 – General Data Protection Regulation, che entrerà in forza dal 25 maggio 2018 – il Gruppo dei Garanti europei ha affermato che: “Considerato che i bambini costituiscono una parte più vulnerabile della società, le aziende dovrebbero generalemente astenersi dal profilarli per finalità di marketing. I bambini possono essere particolarmente suscettibili nei contesti online e facilmente influenzabili dai messaggi basati sul marketing comportamentale” (cfr. § IV delle Linee Guida).

Questo – è bene sottolinearlo – significa che l’Europa vigilerà su pratiche scorrette, ma non potrà sempre intercettare e/o sempre avere giurisdizione su tutto quello dalla vastità del web può finire nella cameretta di un bimbo.

Comprare uno smart toy nell’era degli attacchi informatici

L’ultimo fattore da tenere a mente è riconnesso al fatto che viviamo un’epoca costellata da cyber-attacchi potenzialmente devastanti. La cronaca recente lo ha più volte dimostrato: nessun sistema può dirsi invulnerabile da attacchi esterni, tantomeno le IoT (si pensi, ad esempio, ai danni causati dal malware Mirai).

Gli utenti vengono – solitamente – poco informati circa gli aspetti di privacy riconnessi alle IoT (qui gli sconfortanti esiti di una ricerca del GPEN). Ma quel che preoccupa ancor più, è il fatto che i data breach sono all’ordine del giorno. Facciamoci allora qualche domanda:

  • Siamo proprio sicuri di volere che parole, pensieri, voci, immagini e abitudini dei nostri bambini transitino o risiedano sulla rete?
  • Siamo consapevoli che una volta trasferiti, probabilmente ne perderemo per sempre il controllo e che nessuno avrà interesse a cancellarli o anonimizzarli?
  • Come altre IoT (ad es., gli assistenti domotici Amazon Echo o Google Home), ci sono giocattoli smart che sono attivi in background anche quando sembrano “dormienti”. Abbiamo contezza che questi possono registrare eventi a livello ambientale (ad es., l’audio di discussioni tra adulti) anche quando il bimbo non sta giocando?

E volendo – provocatoriamente, ma non troppo – disegnare scenari più foschi:

  • Siamo assolutamente certi che nessuno hacker potrà mai prendere possesso della videocamera integrata per spiare/catturare immagini di madri o sorelle in déshabillé (e magari ricattarle tramite sextortion)?
  • E se i medesimi sensori (compreso il GPS integrato) fossero utilizzati da malintenzionati per capire se siamo a casa e comunicare la nostra assenza ad una banda di ladri in loco?

Saper riconoscere un giocattolo intelligente e connesso

Quando compriamo un giocattolo che vanti qualche proprietà interattiva, sarà opportuno cercare di comprendere se il balocco appartiene davvero al novero dei connected smart toys. Avremo seri indizi in tal senso, se – leggendo le istruzioni o osservando il funzionamento – ci accorgiamo che il balocco:

  • si connette direttamente ad Internet via WiFi;
  • si connette via Bluetooth ad un device a sua volta connesso con Internet;
  • contiene altoparlanti;
  • contiene microfoni che registrano;
  • contiene foto o videocamere;
  • contiene trasmettitori o ricevitori wireless;
  • ha capacità di riconoscere il linguaggio;
  • ha un localizzatore GPS;
  • si connette ad app mobile;
  • richiede generalità, indirizzi ed altre informazioni personali in fase di registrazione;
  • archivia dati al suo interno;
  • manda i dati al produttore o suoi partner commerciali;
  • manda i dati in cloud;
  • resta connesso anche quando spento.

Consapevolezza e regole di prudenza nell’acquisto

Quando le summenzionate feature sono presenti, possiamo essere certi di essere davanti ad un giocattolo ad alta connettività. Ed allora, se proprio non resistiamo alla tentazione di comprarlo, converrà seguire le seguenti regole di prudenza:

  1. cerchiamo di capire se il giocattolo è in qualche modo certificato;
  2. indaghiamo online sul prodotto: possono esserci articoli di stampa o recensioni da parte di chi ha già acquistato il prodotto che ci possono aiutare ad individuare qualità e pericoli;
  3. leggiamo le condizioni e le privacy policy del produttore;
  4. laddove l’informazione sia disponibile, prestiamo attenzione al luogo di conservazione dei dati. A livello di sicurezza, se i dati rimangono solo nella memoria locale nel giocattolo, è un conto. Se sono trasmessi ad un server estero o su una cloud, è un altro;
  5. cerchiamo di capire se il produttore è intenzionato a cedere i dati a terze parti e per quali finalità;
  6. colleghiamo il giocattolo a WiFi solo se l’access point è sicuro;
  7. se il device è dotato di Bluetooth, assicuriamoci che il sistema richieda una password prima di procedere ad associazione con altri strumenti connessi ad Internet;
  8. cerchiamo di capire se il produttore garantisce che i dati sono trasmessi verso l’esterno in modalità crittografata;
  9. valutiamo se il software del giocattolo è in grado di ricevere aggiornamenti e patch di sicurezza (in tal caso, scarichiamo sempre le versioni più recenti);
  10. cerchiamo di capire dalle condizioni contrattuali se il produttore ci informerà nel caso i suoi sistemi siano oggetto di un attacco informatico che mette a repentaglio i dati degli utenti, o qualora scopra vulnerabilità informatiche o qualora cambi le condizioni di utilizzo dei dati;
  11. rilasciamo il minor quantitativo di dati possibili (ad es., solo i campi obbligatori) quando ci è richiesto di attivare un account per attivare le funzioni interattive del gioco;
  12. scegliamo password complesse da associare a questo account;
  13. se c’è un pannello di controllo genitoriale, settiamo le funzionalità con grande attenzione;
  14. spegniamo completamente il gioco quanto il bambino non lo usa, specie se esso incorpora microfoni e/o telecamere.

Infine, due regole auree:

  1. cerchiamo di capire, con la giusta calma e attenzione, il modo in cui il nostro bambino utilizza il gioco;
  2. appena abbiamo il sospetto che qualcuno si sia infiltrato nei sistemi del giocattolo, spegniamolo, stacchiamo qualsiasi forma di alimentazione elettrica e contattiamo immediatamente le Autorità.

Per concludere: la Legge, come noto, viaggia sempre (o quasi) un passo indietro il progresso tecnologico. Se vogliamo regalare senza timori – o peggio, rimorsi – uno connected smart toy ad un bambino, sarà bene sviluppare qualche rudimento e sensibilità di cybersecurity.

Aggiornamento del 19/01/2018

Il presente articolo è stato pubblicato il 15/01/2018. Quasi a darvi ideale continuità, pochi giorni dopo (il 19/01/2018) il Garante ha  pubblicato un vademecum denominato “Smart toys: i suggerimenti del Garante per giochi a prova di privacy” contenente consigli – non dissimili a quelli resi nel presente scritto – che meritano di essere presi in assoluta considerazione.

L’intervento del Garante assume particolare rilevanza perché se è vero che – come più volte rimarcato nel presente scritto – la consapevolezza è la prima forma di tutela, la divulgazione (da parte dell’Autorità preposta alla tutela stessa) di un’infografica semplice e comprensibile è il miglior contributo che si potesse auspicare.