Home>News>Approfondimenti, Artificial Intelligence, GDPR, Minori, Smart Device, Social Media, Sorveglianza Governativa>Spionaggio, bug di sicurezza e challenge letali: che l’imputato TikTok si alzi

Spionaggio, bug di sicurezza e challenge letali: che l’imputato TikTok si alzi

dott. Marco Massimini – Amministratore Unico e Project Manager di Privacy.it

Pubblicato in data 01-02-2021

Negli ultimi tempi TikTok è stata pubblicamente accusata di fare intelligence a favore di Pechino, di non curare adeguatamente la cybersecurity e di consentire l’iscrizione ad infanti che rischiano di esporsi a predatori sessuali e challenge mortali. E’ giusto mettere alla gogna una piattaforma apprezzata da miliardi di persone (adulti compresi) e che presenta criticità – specie di privacy – simili a quelle di altre community di successo? Demonizzare non serve, ma se è vero che urge imporre il rispetto delle regole a tutte le big tech che prosperano grazie ai nostri dati, è imperativo che il provider di intrattenimento digitale più amato dai minori sia fin d’ora inchiodato a policy di data protection quanto mai stringenti. Facciamo allora il punto su un social problematico, senza ignorare che qualsiasi colpa si voglia ascrivere a TikTok per l’influenza che ha sui più giovani dovrà essere accompagnata da una chiamata in correità di noi genitori e dei modelli educativi che proponiamo.

Il successo planetario di un social app per teenager che piace ai grandi

TikTok, per i pochi che non lo sapessero, è un social app multimediale che consente agli utenti di creare brevi videoclip che possono essere arricchiti grazie ad un ampio database di tracce musicali, di effetti visivi e sonori. Proprietà di un’azienda cinese, TikTok è la versione per l’estero della piattaforma Douyin che nel paese del dragone rosso vanta qualcosa come 600 milioni di iscritti.

L’app spopola tra i più giovani perché – sintetizzandone la caratteristica distintiva – consente loro di unire la passione per la musica e quella per i selfie. La formula magica (spesso incomprensibile agli analfabeti digitali) risiede in un inedito rapporto di commistione tra suoni e immagini che consente un nuova ritmica all’espressività personale: una comunicativa breve (come ormai imposto dalla digital society) ma vivida, perfettamente in linea con le serrate tempistiche di fruizione dei post-millennials. Di fatto, gli utenti attivi si trasformano in registi e sceneggiatori di brevissimi filmati in cui, il più delle volte, essi stessi sono attori protagonisti: tra playback labiali (lip-sync), balletti, recite, imitazioni e sfide, esprimono la propria creatività o il semplice desiderio di emulare i propri beniamini; il tutto all’interno di un vero e proprio social network con tanto di like, follower ed influencer (alcuni dei quali guadagnano milioni di dollari l’anno), dove ogni user ha un profilo personale, dove condividere con la community è la regola base, dove postare commenti, inviare messaggi e partecipare ad “una live” è parte del gioco. Il target sono i ragazzini ma sono tantissimi gli adulti che ne vengono conquistati.

TikTok – così come la sorella più anziana Douyin – utilizza l’intelligenza artificiale e l’apprendimento automatico col supporto di tecnologie di computer vision e di elaborazione del linguaggio naturale che consentono l’analisi e la comprensione di scritte, suoni, foto e video. Man mano che un utente interagisce con i contenuti – tramite tap, swipe, commenti, tempo trascorso sui post, e altro – gli algoritmi di deep learning continuano ad assorbire ed interpretarne gli interessi attribuendoli a cluster vieppiù definiti. Il risultato finale è un feed basato sulle preferenze di ogni iscritto. Più contenuti vengono accumulati dal sistema, più gli algoritmi ottimizzano e customizzano la user experience.

L’app è talmente coinvolgente che alcuni piccoli fruitori vi trascorrono ore risucchiati in un flow di visualizzazione guidato dall’AI. C’è chi sviluppa una sorta di dipendenza, al punto che TikTok nel 2018 ha inserito un automatismo che dopo 90 minuti di utilizzo continuativo invita l’utente a prendersi una pausa.

La biografia di TikTok è breve da riassumere se consideriamo che non ha nemmeno un lustro di vita:

  • nel settembre 2016 la società cinese Beijing ByteDance Technology lancia l’app sul mercato cinese con il nome Douyin che un anno dopo ha già 100 milioni di utenti;
  • nel settembre 2017 viene rilasciata una versione per il mercato estero denominata TikTok;
  • nel novembre 2017 ByteDance acquista per 1 miliardo di dollari la piattaforma concorrente musical.ly, un app fondata a Shangai e con sede USA a Santa Monica specificatamente destinata al mercato americano, affine nei contenuti (sebbene specificamente incentrata sulla tipologia video karaoke) ed anch’essa molto popolare;
  • nel primo semestre 2018 TikTok risulta l’app più scaricata dall’Apple Store (104 milioni di download) lasciandosi alle spalle giganti quali Facebook, Youtube e Instagram;
  • conclusa l’acquisizione di musica.ly, ByteDance ne migra gli utenti in TikTok. Il 2 agosto 2018 musica.ly cessa di esistere;
  • a fine 2018, ByteDance è giudicata la start-up di maggior valore al mondo raggiungendo una valutazione di 75 miliardi di dollari (superiore ad Uber);
  • nel 2020 si stima che ByteDance abbia fatturato di 22,2 miliardi di dollari, nella sola Cina e solo in riferimento agli introiti pubblicitari.

Il patrimonio di dati personali gestito da TikTok è semplicemente immane. Il network dal 2018 ha quasi triplicato gli iscritti, guadagna sui 100 milioni di nuovi utenti ogni mese e ha superato i 2 miliardi di download a livello globale. In Italia vanta circa 8 milioni di user. Con tutta probabilità nel 2021 TikTok si unirà all’esclusivo club dei colossi che vantano 1 miliardo di utenti attivi mensili dove a fargli compagnia troverà Facebook, Instagram, Messenger, WhatsApp, YouTube e WeChat (questa, sempre facente capo a ByteDance).

Quando si ha a che fare con simili numeri, qualsiasi criticità diventa rilevante perché può potenzialmente ricadere sulla vita di miliardi di persone. Il problema è che TikTok non smette di destare preoccupazioni per una serie variegata di questioni ad impatto privacy. L’elenco dei profili controversi sarebbe lungo e qui impossibile da analizzare nel dettaglio, ma vale la pena ricapitolare le principali grane di data protection ad oggi emerse, anche perché hanno tutte avuto sviluppi recentissimi.

Un app al servizio dell’intelligence di Beijing?

Il potere di indirizzo che il governo di Pechino può esercitare sulle aziende cinesi è da tempo fonte di timori per quei prodotti/servizi tecnologici che varcano la Grande Muraglia lanciandosi alla conquista dei mercati occidentali. Si è parlato di “state of influence”, quasi l’esecutivo della Repubblica Popolare quale azionista occulto di maggioranza nel board di alcune compagnie strategiche. Un’ombra, questa, che sta da tempo allarmando gli USA, ormai certi che la Cina utilizzi dispositivi, programmi e app di largo consumo come strumento di infiltrazione e spionaggio. Già ad inizio 2018, la U.S. Intelligence Community (comitato che riunisce i direttori delle 17 principali agenzie federali tra cui FBI, CIA, NSA) espresse al Senato americano una raccomandazione piuttosto decisa: la pubblica amministrazione, le aziende e i cittadini statunitensi dovrebbero evitare l’utilizzo di prodotti e servizi tecnologici provenienti dalla Cina perché costituiscono una minaccia per la privacy dei cittadini, per la sicurezza nazionale e per i segreti industriali a stelle e strisce. Il board non lesinò espressi riferimenti a Huawei e ZTE.

I sospetti si sono poi estesi a TikTok che – insieme alle forniture per le reti 5G sempre di Huawei – è finita per esser al centro di dispute e tensioni che hanno riecheggiato i toni della guerra fredda.

Già nel dicembre 2018, la US Army – che fino a pochi mesi prima impiegava la piattaforma come potente strumento di reclutamento delle nuove leve – ha iniziato a consigliare ai soldati di disinstallare TikToK da tutti i telefoni di proprietà del governo dopo che un messaggio di sensibilizzazione informatica del Dipartimento della Difesa identificava “TikTok come veicolo di potenziali rischi di sicurezza associati al suo utilizzo“.

Il 7 luglio 2020, il Segretario di Stato americano Mike Pompeo ventilava che il governo stesse valutando la possibilità di vietare TikTok; l’unica alternativa per i cinesi sarebbe stata la partizione e vendita della versione USA ad una società americana che ne avrebbe gestito autonomamente i dati. Il 3 agosto 2020, dopo l’annuncio che Microsoft era in trattative per l’acquisizione della società, il presidente degli Stati Uniti Donald Trump ha minacciato di bandire TikTok negli Stati Uniti se i negoziati per l’acquisizione della società da parte del colosso con sede a Redmond o di un’altra società “very american” fossero falliti. Secondo Trump c’erano “prove credibili” che che ByteDance “potrebbe intraprendere azioni che minacciano di compromettere la sicurezza nazionale degli Stati Uniti“. L’intimazione di un ban fu reiterata da Trump più volte anche con executive orders che imponevano 45 e poi 90 giorni per la cessione; i termini perentori sono stati in seguito sospesi per consentire alle trattative sullo scorporo (in cui intanto si inserivano anche Oracle e Wallmart) di proseguire senza eccessivi assilli. Nel frattempo non sono mancate le impugnazioni giudiziarie sia da parte di TikTok che da parte di alcuni giovani influencer americani che ritenevano la prospettata chiusura del social da parte del magnate/presidente non solo lesive della libertà di espressione ma anche del loro diritto di trarre profitto dalle proprie performance (che di tale liberà sono diretta promanazione).

Con l’uscita di scena di Trump, le acque si sono un attimo calmate. Ma sulla carta vige ancora l’obbligo di cedere l’attività negli USA con deadline fissata al 18 febbraio 2021: la palla è passata al neoeletto Biden che – stando al NY Times – ha finora detto poco o niente su TikTok e sulle più ampie preoccupazioni bipartisan circa le tecnologiche cinesi.

Ma le accuse di spionaggio sono fondate? I principali esperti di sicurezza assicurano che TikTok non sia più intrusivo – nella raccolta dati e nel monitoraggio delle attività degli utenti – rispetto ad entità profondamente stars and stripes quali Facebook e Google. L’amministrazione repubblicana ha agitato ai quattro venti lo spauracchio che dentro la social app di ByteDance sia in ascolto l’orecchio digitale della Repubblica Popolare. Tutto può essere, ma al momento non c’è prova che la piattaforma sorvegli cittadini ed organizzazioni statunitensi. Comunque sia, è un peccato che simili allarmi non siano stati lanciati quando a spiare le comunicazioni private c’era un uditore di Langley o di Fort Meade: ad esempio, quando la stessa Intelligence Community si mise – specie tramite il Prism Project della National Security Agency – per ben 6 anni ad intercettare occultamente tutte le comunicazioni dei cittadini esteri (ma anche degli americani che con questi interloquivano) e dei governi stranieri con la – più o meno forzata – collaborazione delle americanissime Google, Facebook, Microsoft, Skype, Apple, Yahoo e AOL. Ad avvisare il pubblico ci pensò Edward Snowden.

Va detto che gli USA non sono gli unici ad aver sospettato che TikTok sia soggetta ad ingerenze riconducibili al Partito Comunista Cinese. L’anno passato, l’India – dopo lo scontro militare tra truppe indiane e cinesi in un territorio conteso lungo il confine del Ladakh – ha bandito TikTok insieme ad altre 58 app cinesi perché rappresenterebbero “una minaccia alla sovranità e alla sicurezza del paese”. E nel gennaio 2020, il nostro Copasir affermava di voler “verificare l’uso che il governo della Cina fa dei dati sensibili degli utenti italiani iscritti su TikTok”.

Le falle di cybersecurity

A TiKTok non mancano problemi di sicurezza informatica. Le difese a protezione da attacchi esterni si sono dimostrate più volte inadeguate. Trattandosi di un app da miliardi di download, la questione è seria e qualche esempio merita di esser portato anche perché l’ultima falla è recentissima.

Come molti altri social network o app di messaggistica istantanea, in TikTok un utente può consentire alla piattaforma l’accesso alla propria rubrica per sincronizzarne i contatti telefonici al fine di trovare più agevolmente nella community altre persone che potrebbe già conoscere. Il 26 gennaio 2021 Check Point Software Technologies, società israeliana specializzata in cybersecurity, ha reso noto di aver scoperto una vulnerabilità all’interno della funzione di ricerca di amici dell’applicazione mobile.

La falla, se sfruttata, avrebbe permesso di accedere alle informazioni personali degli utenti tra cui nome, data di nascita, nickname, immagini del profilo e dell’avatar, ID unico, numero di telefono associato all’account e altre impostazioni individuali, come ad esempio quella che consente a un utente di agire come follower identificato o anonimo. Il bug avrebbe permesso a dei malintenzionati non solo di manipolare i dettagli salvati nell’account personale dei singoli iscritti e di intraprendere azioni per loro conto, ma anche di alimentare un ingente database impiegabile per una varietà di attività malevoli che possono andare dall’invio dal maleware spam fino all’adescamento per fini sessuali.

Concernendo la funzione friend finder, la criticità ha esposto solo su gli utenti che hanno scelto di associare un numero di telefono al loro account o che si sono loggate con un numero di telefono. Questo non sminuisce in alcun modo la gravità del fatto dal momento che sono molti coloro che abbinano il cellulare e acconsentono alla sincronizzazione. Gli addetti alla security del social – che erano stati preallertati dal team di Check Point – garantiscono di aver posto rimedio al problema con il rilascio di un apposito aggiornamento.

Già un anno fa gli informatici di Check Point avevano individuato diverse falle all’interno dell’infrastruttura di TikTok, dimostrando come anche l’app fosse vulnerabile agli hacker specie a causa di un criticità nel sistema di messaggistica. Gli aggressori avrebbero potuto guadagnare accesso non autorizzato a dati personali come nome e cognome, indirizzo e-mail e data di nascita. Ma non solo: “Un hacker potrebbe potenzialmente manipolare e inviare messaggi a qualunque numero di cellulare, fingendosi TikTok”, spiegavano i tecnici della società israeliana, “inviando ed eseguendo codici maligni per mettere in atto operazioni indesiderate come la cancellazione di video, il caricamento non autorizzato di video, e il cambiamento delle impostazioni di privacy dei video da privato a pubblico”. Si pensi a cosa ciò può concretamente significare: sfruttando una falla del genere, si potrebbe diffondere un video sconveniente o oltraggioso per conto di un ignaro iscritto, magari manipolando realisticamente la sua immagine e le sue parole con tecniche di deepfake. Oltre a ciò, gli incursori avrebbero potuto spostare forzatamente un utente TikTok su un server controllato e da lì “dirottare la propria vittima su un sito web pericoloso”.

Anche in questo caso, la vulnerabilità fu risolta grazie alla segnalazione di Check Point e questo dimostra quanto possa essere prezioso il vaglio continuo da parte di quell’eterogenea comunità di esperti di cybersecurity che, per fortuna di tutti noi, è sempre al lavoro in ogni angolo del mondo. Intelligentemente, il Global Security Team di TikTok ha deciso di farvi espresso affidamento incentivando l’invio di contributi grazie ad un vero e proprio sistema di remunerazione aperto a tutti: il 21 ottobre 2020 ha lanciato un Bug Bounty Program che sarà gestito in partnership con HackerOne, nota piattaforma dedicata alla segnalazione e divulgazione delle falle informatiche utilizzata da altre grandi aziende e pubbliche autorità (tra cui il Dipartimento della Difesa degli Stati Uniti). La policy del programma prevede che maggiore è la pericolosità del bug scoperto più alta sia la ricompensa: un’apposita formula matematica assegna ad ogni minaccia individuata un livello di gravità in base al quale i white hat hacker possono guadagnare da 50 USD (per vulnerabilità di basso livello) a 14.600 USD (per una di livello critico).

La (mancata) verifica dell’età minima

Una delle problematiche cruciali di TikTok è la scarsa capacità di accertare l’età di coloro che ne richiedono l’iscrizione.

La questione era già prepotentemente emersa nel 2019. Acquistando musical.ly, ByteDance aveva anche incorporato un problema che la piattaforma acquisita trascinava con sé da qualche tempo: l’accusa di aver illecitamente raccolto i dati degli utenti più piccoli. Fino al 2016, infatti, musical.ly non aveva raccolto il consenso per poter trattare i dati degli utenti sotto i 13 anni. In altre parole, i bambini potevano aprirsi autonomamente un account e operare sulla piattaforma senza che i genitori lo sapessero. Una condotta esplicitamente contraria alla normativa USA che tutela i bambini dai pericoli online, il Children’s Online Privacy Protection Act (COPPA) del 1998, e che non è sfuggita all’attenzione di migliaia di genitori nonché di alcune associazioni statunitensi che hanno denunciato la violazione provocando l’intervento della Federal Trade Commission (FTC). Ne è seguita un’indagine che si chiuse con la decisione che ingiungeva il pagamento di una sanzione da 5,7 milioni di dollari: al tempo, la più alta multa mai comminata in relazione al trattamento illecito dei dati dei minori.

Secondo la FTC in musical.ly “erano a conoscenza del fatto che dei bambini stavano usando l’app, ma hanno continuato a non richiedere il permesso dei genitori, prima di raccogliere nomi, indirizzi email e altre informazioni personali” come biografie e immagini del profilo oltre che, ovviamente, video pubblicati. Senza modificare le impostazioni di default (cosa che non si può pretendere facciano i bimbi), questi dati erano pubblici ossia condivisi con tutta la community senza la necessaria autorizzazione genitoriale. E sono stati diversi i casi in cui adulti predatori sessuali hanno cercato – spesso fingendosi coetanei – di contattarli per ottenere materiale pedo-pornografico o per incontrarli nella vita reale. Ad esempio, i genitori di una iscritta a musical.ly di soli 6 anni hanno denunciato un utente maturo stava chiedendo alla loro piccola immagini sessualmente esplicite. Oltre a ciò, l’inconsapevolezza con cui i più giovani condividono informazioni altamente identificative ha reso reiteratamente possibile che episodi di bullismo o di razzismo potessero non solo manifestarsi nel contesto virtuale ma anche concretizzarsi nel mondo reale.

Negli anni TikTok non è riuscita ad ovviare alla debolezza dei suoi sistemi di age verifaction. Nel giugno 2019 l’Information Commissione’s Office del Regno Unito avviava per questo un indagine autonoma e nel gennaio 2020 il nostro Garante Privacy chiedeva al Comitato Europeo per la Protezione dei Dati personali (EDPB), che riunisce tutte le Autorità privacy dell’UE, di attivare una specifica task force segnalando “la necessità di procedere in maniera forte e coordinata, anche in considerazione della delicatezza e della rilevanza di questo tipo di piattaforme, rivolte soprattutto alle fasce di utenti più giovani”. L’EPDB ha istituito la task force nel successivo mese di giugno.

Non più tardi del 22 dicembre scorso, il nostro Garante Privacy – che aveva comunque aperto propria istruttoria nel marzo 2020 – ha avviato un procedimento contro TikTok per “Scarsa attenzione alla tutela dei minori, divieto di iscrizione ai più piccoli facilmente aggirabile, poca trasparenza e chiarezza nelle informazioni rese agli utenti, impostazioni predefinite non rispettose della privacy”. Tra le altre cose, il Garante ha contestato a TikTok che “le modalità di iscrizione al social network non tutelino adeguatamente i minori. Il divieto di iscrizione al di sotto dei 13 anni, stabilito dal social network, risulta infatti facilmente aggirabile una volta che si utilizzi una data di nascita falsa. Tik Tok di conseguenza non impedisce ai più piccoli di iscriversi né verifica che vengano rispettate le norme sulla privacy italiane, le quali prevedono per l’iscrizione ai social network il consenso autorizzato dei genitori o di chi ha la responsabilità genitoriale del minore che non abbia compiuto 14 anni”.

Nel provvedimento il Garante ha anche contestato che:

  • l’informativa rilasciata agli utenti è standardizzata e non prende in specifica considerazione la situazione dei minori, mentre sarebbe necessario creare una apposita sezione dedicata ai più piccoli, scritta con un linguaggio più semplice e con meccanismi di alert che segnalino i rischi ai quali si espongono;
  • i tempi di conservazione dei dati risultano poi indefiniti rispetto agli scopi per i quali vengono raccolti né appaiono indicate le modalità di anonimizzazione che il social network afferma di applicare;
  • stessa mancanza di chiarezza riguarda il trasferimento dei dati nei Paesi extra Ue, non essendo specificati quelli verso i quali la società intende trasferire i dati, né indicata la situazione di adeguatezza o meno di quei Paesi alla normativa privacy europea;
  • il social network preimposta il profilo dell’utente come “pubblico”, consentendo la massima visibilità ai contenuti in esso pubblicati. Tale impostazione predefinita si pone in contrasto con la normativa sulla protezione dei dati che stabilisce l’adozione di misure tecniche ed organizzative che garantiscano, di default, la possibilità di scegliere se rendere o meno accessibili dati personali ad un numero indefinito di persone.

Il Garante ha concesso 30 giorni per inviare memorie difensive, termine rispetto al quale TikTok ha poi chiesto ed ottenuto – in ragione del periodo natalizio e delle difficoltà create dalla pandemia in corso – una proroga fino al 29 gennaio 2021.

Detto termine non ha fatto a tempo a scadere che, fatalmente, il 22 gennaio le peggiori paure si sono trasformate improvvisamente in realità: a Palermo una bambina di soli 10 anni si lega una cintura al collo e finisce per soffocarsi nell’intento di partecipare ad una blackout challenge, una delle varie sfide emulative estreme che si annidano nella piattaforma. La sconvolgente notizia occupa istantaneamente tutti i media del nostro Paese ed appare di gravità tale che il giorno stesso il Garante Privacy:

TikTok, per effetto del blocco che il Garante ha intimato fino al 15 febbraio prossimo, deve ora trovare rapidamente un modo più efficace per accertarsi dell’età degli utenti, e al tempo stesso deve interrompere il trattamento dei dati degli iscritti per i quali non vi sia assoluta certezza del requisito anagrafico. Allo scadere del termine, l’Autorità formulerà le proprie valutazioni sia per quanto riguarda la prosecuzione del blocco disposto il 22 gennaio sia per quel che concerne le contestazioni del 22 dicembre, in attesa delle mosse dell’EDPB e della Data Protection Commission irlandese che, secondo i meccanismi di cooperazione del GDPR, potrebbe assumere il ruolo di autorità capofila in un procedimento comune.

Tenuto conto dei parametri sanzionatori del GDPR, TikTok rischia una multa che può ammontare fino al 4% del fatturato mondiale annuo relativo all’esercizio precedente. Se, in ipotesi, le autorità decidessero di infliggere alla parent company ByteDance (il cui fatturato globale 2020 si stima intorno ai 35 miliardi di USD) la sanzione amministrativa potrebbe superare agevolmente il miliardo di euro.

Poco prima della tragedia di Palermo, fors’anche per effetto delle intimazioni che il Garante italiano aveva disposto lo scorso dicembre, la governance di TikTok aveva fatto qualche passo avanti verso una maggiore compliance e il 13 gennaio 2021 aveva annunciato le seguenti novità per rafforzare privacy e sicurezza dei minori:

  • gli account di coloro che si sono registrati dichiarando un età compresa tra i 13 e i 15 anni sono ora privati per impostazione predefinita, e quindi ci sono limiti su chi può visualizzare e commentare qualsiasi contenuto che pubblicano;
  • quando un account è impostato su “privato”, solo i follower approvati possono visualizzare e interagire con i contenuti creati dal titolare dell’account sulla piattaforma di condivisione video, e inoltre, gli utenti tra i 13 e i 15 anni possono ora scegliere se permettere solo agli amici di commentare i loro video oppure a nessuno;
  • anche l’opzione “Suggerisci il tuo account agli altri” di TikTok è stata impostata su “Off” di default per questa fascia di età.

Il settaggio del profilo in privato per impostazione predefinita non è l’unico cambiamento che, secondo TikTok, ha un impatto su questo segmento di età. D’ora in poi, le importanti feature denominate Duet e Stitch saranno disponibili solo per gli utenti dai 16 anni in su e condivisibili con i soli “amici” di default (Duet è una funzione di video-collaborazione per creare contenuti basati su una track originale, e avere questi video visualizzati fianco a fianco. Stitch serve invece a remixare il contenuto, prendendo elementi da una clip originale e costruendoci sopra la propria performance). Questi miglioramenti a tutela dei più giovani vanno a sommarsi ad altre iniziative recentemente intraprese quali:

  • la limitazione della messaggistica diretta e l’hosting di eventi live stream agli account dai 16 anni in su;
  • la preclusione dell’acquisto, l’invio e la ricezione di regali virtuali agli utenti sotto i 18 anni;
  • la possibilità per i genitori di impostare dei guardrail sull’esperienza TikTok dei loro adolescenti attraverso le funzioni di Family Pairing (abbinamento familiare).

Il tema della verifica dell’età minima è però rimasto fermo al palo. Così facendo, la piattaforma viola il combinato disposto tra GDPR (art. 8) e Codice Privacy (art. 2 quinques) per effetto del quale nell’ambito dei servizi digitali è illecito acquisire i dati di un infraquattordicenne se il consenso non è reso da chi ne esercita la responsabilità genitoriale.

E’ importante sottolineare che questa criticità non riguarda solo TikTok le cui pratiche per evitare l’iscrizione dei più piccoli sono simili a quelle utilizzate dai maggiori social network. Pare quindi illogico demonizzare soltanto l’app cinese (come sta in qualche modo accadendo nella vulgata popolare e nei media sull’onda emozionale degli ultimi fatti di cronaca). Ma è anche vero se c’è da dare una stretta sul problema della age verification – la qual cosa è indubitabile -, è bene che si parta dal social più amato dai pre-adolescenti.

Ad ogni buon conto, per coerenza, il 27 gennaio 2021 il Garante ha annunciato di aver aperto un fascicolo su Facebook e Instagram, due dei social più diffusi anche tra i giovanissimi, a cui la bimba di Palermo era parimenti iscritta. L’Autorità ha dunque “chiesto a Facebook, che controlla anche Instagram, di fornire una serie di informazioni, a partire da quanti e quali profili avesse la minore e, qualora questa circostanza venisse confermata, su come sia stato possibile, per una minore di 10 anni, iscriversi alle due piattaforme. Ma ha chiesto soprattutto di fornire precise indicazioni sulle modalità di iscrizione ai due social e sulle verifiche dell’età dell’utente adottate per controllare il rispetto dell’età minima di iscrizione”. Facebook dovrà dare riscontro al Garante entro 15 giorni.

Questo tipo di verifica – ha affermato l’Autorità – sarà estesa anche agli altri social, sempre con particolare riguardo alle modalità di accesso alle piattaforme da parte dei minori.

Trovare una soluzione tecnica al problema non sarà affatto agevole. Il Garante non ha intenzione, non essendovi tenuta, di suggerire specifiche implementazioni. Di certo, non sembra un’idea percorribile quella di imporre verifiche tramite acquisizione di documenti di identità perché questo non farebbe che ingigantire i rischi di privacy consentendo ai social e affini la creazione di anagrafi parallele e schedature di massa (tanto più da evitarsi se parliamo di piattaforme dedicate ai minori). Parimenti non convince la proposta – come quella recentemente suggerita dalla nostra sottosegretaria alla Salute – di condizionare l’iscrizione all’utilizzo dello SPID: la soluzione deve essere applicabile su scala globale ed è impensabile che una piattaforma operativa ad ogni latitudine possa gestire in modo uniforme i più svariati sistemi di identità digitale (e anche se ci riuscisse, che fare con gli utenti dei Paesi che ne dispongono).

Starà dunque agli stessi leader del mercato digitale ingegnarsi per trovare una way-out al problema, magari unendo tra loro risorse intellettuali, tecniche ed economiche perché è anche loro interesse che questo nodo si risolva al più presto.

Servizi digitali e minori, un tema complesso da affrontare con urgenza

I social sono una risorsa mirabile per le nuove generazioni e non solo: sono potenziale fonte inesauribile di conoscenza e acculturamento, agevolano un costante raffronto con il diverso da sé, consentono l’interazione tra persone distanti o che hanno difficoltà nel relazionarsi de visu, permettono a individui che altrimenti non avrebbero voce di aggregarsi per una giusta causa, aiutano il lancio di nuove idee, stimolano la creatività condivisa, e tanto altre ancora. Ma hanno anche un lato oscuro da cui le personalità fisiologicamente meno strutturate devono esser tenute al riparo.

La speranza è che la disgrazia di Palermo, ancorché assolutamente insopportabile, porti ad una svolta sullo spinoso tema dell’accesso dei più piccoli ai social network e agli altri servizi offerti della digital society. Non c’è tempo da perdere e a cruda dimostrazione ci sono notizie come quella del 25 gennaio scorso: un ex insegnante di 57 anni – già pluripregiudicato per reati di pedofilia, adescamento e violenza sessuale su minori di 14 anni – è stato arrestato per aver adescato via TikTok ben 41 ragazzine sparse per tutt’Italia fingendosi un adolescente.

La questione è di estrema complessità, e – questo dovrebbe esser chiaro a tutti i genitori – travalica le sole responsabilità dei colossi del web perché riguarda anche i modelli educativi che proponiamo ai nostri figli; pargoli a cui spesso noi stessi forniamo i dispositivi che fagocitano il loro tempo libero e proiettano la loro attenzione in un mondo virtuale che propone tanti input positivi ma anche diverse implicazioni non gestibili dalle loro conoscenze ed dal loro bagaglio esperienziale.

Tuttavia, come noto, i genitori raramente sono davvero consapevoli di cosa si può nascondere dietro lo smartphone a cui i figli sono incollati, un mezzo che loro quasi sempre maneggiano meglio di mamma e papà. E questo gap va in qualche modo colmato. Se concediamo – magari troppo presto – ai nostri figli la chiave per entrare in una realtà parallela ma non ci interessiamo di come è fatta e di come vi si muovono, è come se li abbandonassimo senza mappa in una megalopoli che pullula di estranei tra viali sfavillanti, vicoli bui e periferie degradate.

E’ dunque imprescindibile che i genitori facciano il massimo sforzo per informarsi adeguatamente, anche perché le fonti non mancano. Ad esempio, può essere di grande aiuto seguire i consigli resi dalla Polizia in tema di:

La scuola deve indubbiamente fare la propria parte rafforzando quel poter/dovere di formazione ed informazione che i genitori delegano ad essa.

L’Autorità garante per l’infanzia e l’adolescenza, in una comunicazione resa nelle immediatezze della tragedia di Palermo dalla neo incaricata Carla Garatti, ha affermato che “È grande il dolore e lo sconcerto di fronte a bambini e ragazzi che perdono la vita per una sfida su internet. Non dovrebbe mai accadere e ogni volta ci si interroga su cosa fare per evitare che simili drammi si ripetano. Chiudere la rete è impossibile”. Precisato che nessun minore di 14 anni dovrebbe potersi iscrivere online senza il consenso genitoriale, la dott.ssa Garatti è convinta che “Vietare ai giovani l’uso del web significherebbe invece comprimere il loro diritto di esprimersi, di informarsi, di giocare, di apprendere”, anche perché “Occorre prendere atto che i minorenni di oggi sono nati in un mondo nel quale internet c’era già”. Il Garante rimarca quanto sia necessario “(…) investire ulteriormente a scuola – e non solo alle Superiori – nell’educazione al digitale e alla consapevolezza che esso richiede. Una responsabilità che investe tutte le agenzie educative (…)”. Non manca un monito a genitori: “I ragazzi vanno sì accompagnati nell’uso del web e delle app, ma ancor prima essi non devono ricevere esempi negativi. Taluni genitori li abituano infatti alla sovraesposizione, al mostrarsi per esistere: i ragazzi sono “fotografati”, “condivisi”, “pubblicati” sin da piccoli. Allo stesso tempo capita che padri e madri tengano in rete comportamenti da loro stessi proibiti ai figli. Va inoltre evitata la spinta esasperata alla competitività: i ragazzi finiscono per non accettarsi e non accettare le sconfitte”. Per questi motivi, neppure gli adulti “vanno lasciati soli dalle istituzioni: i docenti, gli educatori e i genitori vanno aiutati e formati affinché per loro sia possibile aiutare i più piccoli ad accettarsi e a fronteggiare la cultura della sovraesposizione. E ciò è tanto più urgente se si riflette sull’aumento del valore a cui è assurto l’esistere e l’apparire online in una stagione di relazioni sociali impoverite da lockdown, lezioni a distanza, locali, cinema, teatri e impianti sportivi chiusi”.

Insomma, se vogliamo che i nostri figli vivano un rapporto quanto più possibile sano con i servizi dell’era digitale, c’è molto da fare perché – a fronte di un mare di nuovi benefici ed opportunità – sono tanti gli aspetti da tenere sotto stretta osservazione. Un’attenzione che il genitore di oggi deve usare in tutte le fasi della crescita perché la relazione con i device intelligenti inizia praticamente da bebé per poi evolversi con lo sviluppo.

In passato abbiamo approfondito le problematiche relative agli smart toys che – iper connessi e dotati di intelligenza artificiale – ormai ascoltano tutto e profilano gli infanti per avviare con essi un’interazione personalizzata con tutto ciò che ne consegue in termini di rischi per la privacy e di surrogazione dell’elemento genitoriale o amicale nell’autonomo processo di crescita. Ci siamo inoltre occupati di come YouTube, altra piattaforma prediletta dai più piccoli, non avesse una procedura di age verificartion adeguata e di come spiasse le navigazioni degli under 13 per finalità – molto remunerative – di targeted advertising (per questo nel 2019 la FTC comminò a Google una multa da 170 milioni di USD per violazione del Children’s Online Privacy Protection Act). E abbiamo dovuto più volte registrare quanto l’advertising technology infesti occultamente molti siti web dedicati ai bambini che – facilmente condizionabili – vengono bersagliati di pubblicità mirata e/o telecomandati nei loro click (si veda, tra più eclatanti, il caso di Oath e delle app Disney).

Nel giro di pochissimi lustri, per effetto della rivoluzione digitale ci siamo trovati catapultati in un mercato catalizzato da pochi big player in grado di definire linee di indirizzo erga omnes nella nuova società globalizzata e iperconnessa. Stante il contesto, non si può sottovalutare come gli algoritmi predittivi eterodeterminati – con cui i minori hanno inconsapevolmente a che fare nella dimensione virtuale – possano interferire con il naturale sviluppo del loro processo cognitivo e volitivo, condizionandone le capacità di discernimento e “telecomandandone” i percorsi secondo parametri psicometrici decisi da una macchina; una macchina che tuttavia è informata da umani il cui unico scopo è fidelizzare gli utenti per influenzarne la propensione al consumo (magari con tecniche di neuromarketing oppure di dynamic pricing personalizzato) e che – in astratto, ma nemmeno troppo – potrebbero anche surrettiziamente suggestionarne i convincimenti etici e finanche gli orientamenti di e-democracy. Quella della “dittatura degli algoritmi” è una questione tanto seria quanto complessa (e, per questo, non possiamo qui approfondirla a dovere) ma che va sempre tenuta a mente perché in ballo c’è il bene forse più prezioso: il diritto dei più giovani alla libera autodeterminazione della propria personalità.

Un capitolo a parte di assoluta importanza – che anche in questo caso possiamo solo accennare – lo meriterebbe la fase della scoperta dell’eros. Già con la prima adolescenza un numero di minori ben maggiore di quanto si possa immaginare tende a vivere via device le prime manifestazioni della propria sessualità. Sono nativi digitali, sviluppano online buona parte della loro socialità e quindi è in qualche modo naturale che in quel contesto manifestino qualsiasi afflato e ancor più quelli di natura erotica (ulteriormente facilitati da un contesto apparentemente “asettico”, con meno imbarazzi di un incontro fisico e con la possibilità di slanci verso individui che non incontreranno mai nella vita reale). Finiscono così per condividere con qualcuno – e automaticamente con un server terzo ed aggredibile – immagini e atteggiamenti espliciti che giammai vorrebbero finissero in circolazione ma di cui ignorano ne hanno già perso (per sempre) il controllo all’atto della primo share. Fenomeni come il revenge porn, sextortion e sexploitation sono ormai piaghe sociali che colpiscono innumerevoli adulti, ma troppo spesso travolgono le fragili esistenze di minori indifesi o poco avveduti. Anche su questi temi, converrebbe che i genitori si informassero adeguatamente e dialogassero in modo aperto con i propri figli (partendo, ad esempio, da quanto divulgato sempre dalla Polizia in materia di adescamento online). Parimenti, le istituzioni scolastiche dovrebbero godere di maggiori risorse per rendere l’educazione sessuale al tempo di internet un asse davvero portante del proprio programma.

La legge, come noto, viaggia sempre (o quasi) un passo indietro il progresso tecnologico. Per questo educarsi ed educare ad una fruizione corretta dei servizi digitali è urgenza imprescindibile. Ed ogni governo dovrebbe mettere già oggi in agenda – e in bilancio – la questione formativa come prioritaria, perché è impensabile che ogni nucleo familiare abbia le risorse culturali (e non solo) per provvedere da sé.

Nel frattempo, è giusto che i social e le altre piattaforme che sul punto hanno finora furbescamente nicchiato oppure operato in modo insufficiente, siano costretti a trovare soluzioni per tenere i minori quanto più al riparo dai pericoli del cyberspazio di propria competenza. Devono farlo subito e a costo di rinunciare ad una quota significativa di iscritti e quindi di introiti (che talora equivalgono al PIL di alcuni nazioni). E per la schiera di piccoli accoliti che vanta, è doveroso che TikTok sia – primus inter pares – chiamata a provvedervi.