Spie a 4 ruote: come le case automobilistiche raccolgono e rivendono informazioni

Di tutti i dispositivi tecnologici che possiedi… indovina qual è il più attivo nella raccolta delle tue informazioni personali a scopo di analisi e rivendita?

La tua auto. Secondo gli esperti della Mozilla Foundation, la quantità di informazioni che viene registrata da smartwatch, altoparlanti smart, telecamere di sorveglianza e molti degli altri dispositivi esaminati nell’ambito del progetto Privacy Not Included non si avvicina nemmeno ai volumi di raccolta dei dati delle automobili moderne. A questo progetto partecipano alcuni esperti che esaminano i contratti con l’utente e le politiche sulla privacy per comprendere il modo in cui i dispositivi utilizzano i dati personali dei proprietari.

Per la prima volta nella storia del progetto, assolutamente tutti (25 su 25) i marchi automobilistici recensiti hanno ricevuto un “cartellino rosso” per raccolta inaccettabile di informazioni personali, mancanza di trasparenza nel loro utilizzo, trasmissione dei dati e pratiche di archiviazione scarsamente documentate (ad esempio, non ci sono informazioni riguardo all’utilizzo, o meno, di un sistema di criptaggio). Quel che è peggio, 19 marchi su 25 dichiarano ufficialmente di poter rivendere le informazioni che raccolgono. A rendere queste violazioni della privacy ancora più dannose è il fatto che i proprietari di automobili in pratica non hanno la possibilità di disattivare la raccolta e la trasmissione dei dati: solo due marchi, Renault e Dacia, concedono ai proprietari il diritto a richiedere la rimozione dei dati personali raccolti. Tuttavia, non è così facile nemmeno capire se e quando è il caso di esercitare questo diritto.

Nascoste tra le righe degli accordi di licenza, che gli acquirenti di automobili in genere firmano senza nemmeno leggerli, ci sono alcune violazioni assolutamente oltraggiose dei diritti alla privacy. Ad esempio, il consenso del proprietario a condividere le proprie preferenze sessuali e informazioni genetiche (Nissan), la divulgazione di informazioni su richiesta informale delle forze dell’ordine (Hyundai) e la raccolta di dati sui livelli di stress, il tutto in aggiunta ad altre 160 categorie di dati dalla denominazione deliberatamente vaga come “informazioni demografiche”, “immagini”, “informazioni di pagamento”, “geolocalizzazione” e così via.

Il brand in assoluto peggio posizionato nelle classifiche è stato Tesla: oltre a tutti gli altri possibili punti di penalità, ha anche conquistato un’etichetta speciale: “IA inaffidabile”.

In che modo le auto raccolgono informazioni

Le auto moderne sono letteralmente piene di sensori, che vanno dai normali sensori del motore e del telaio che misurano informazioni sulla temperatura del motore, l’angolatura del volante o la pressione dei pneumatici, ad altri più interessanti, come le telecamere perimetrali e interne, i microfoni e i sensori di presenza delle mani sul volante.

Tutti sono collegati su un singolo bus , quindi il computer principale dell’auto riceve centralmente tutte queste informazioni. Inoltre, tutte le auto moderne sono dotate di GPS e moduli di comunicazione cellulare, Bluetooth e Wi-Fi. La presenza di comunicazioni cellulari e GPS in molti paesi è obbligatoria per legge (per chiamare i soccorsi automaticamente in caso di incidente), ma i produttori utilizzano volentieri questa funzione nell’interesse dei conducenti (e anche a proprio vantaggio). È possibile pianificare i percorsi sullo schermo dell’auto, diagnosticare a distanza i malfunzionamenti, accendere il motore in anticipo… E, naturalmente, il bridge “sensori e telecamere → computer per auto → rete cellulare” apre un canale per la raccolta di informazioni: dove si sta andando, dove e per quanto tempo si parcheggia, con che velocità si gira il volante e si accelera, se le cinture di sicurezza vengono utilizzate e così via.

Altre informazioni vengono raccolte dallo smartphone del conducente quando si connette al sistema di bordo dell’automobile per effettuare chiamate, ascoltare musica, navigare e così via. E se nello smartphone è installata un’app mobile creata dalla casa automobilistica per il controllo delle funzioni dell’auto, i dati possono essere raccolti anche quando il conducente non si trova in macchina.

A loro volta, le informazioni sui passeggeri possono essere raccolte tramite telecamere, microfoni, hotspot Wi-Fi e funzioni Bluetooth. Con questi dispositivi è facile scoprire chi viaggia regolarmente in macchina con il conducente, quando e dove sale e scende, quale smartphone usa e così via.

Perché le case automobilistiche hanno bisogno di queste informazioni?

Perché ne traggono un vantaggio economico. Oltre ad essere utilizzati per le analisi finalizzate a “migliorare la qualità dei prodotti e dei servizi”, i dati possono anche essere rivenduti e le funzionalità dell’auto possono essere adattate in modo da garantire al produttore un maggiore profitto.

Ad esempio, le compagnie di assicurazione acquistano informazioni sullo stile di guida di un determinato conducente per prevedere con maggiore precisione le probabilità che abbia un incidente e quindi adeguare il costo della polizza assicurativa. Già nel 2020 il 62% delle auto usciva dalla fabbrica con questa controversa funzione in dotazione e secondo le previsioni si tratta di un dato destinato a raggiungere il 91% entro il 2025.

Anche le società di marketing non vedono l’ora di utilizzare questo tipo di dati per sviluppare pubblicità mirate in base al reddito, allo stato civile e allo stato sociale del proprietario.

Ma anche senza considerare la rivendita di dati personali, non mancano esempi sgradevoli di monetizzazione, come l’abilitazione/disabilitazione di funzioni aggiuntive dell’auto in abbonamento, come BMW ha cercato invano di fare con i sedili riscaldati, o la vendita di auto costose a credito che orevede il blocco forzato del veicolo in caso di mancato pagamento.

Cos’altro c’è di sbagliato nella raccolta dei dati e nella telematica?

Anche se pensi che “non c’è niente di sbagliato negli annunci” e “non c’è niente di interessante da scoprire su di me”, considera gli ulteriori rischi a cui queste tecnologie espongono te e la tua auto.

Fughe di dati. I produttori raccolgono attivamente informazioni sui clienti e le archiviano in modo permanente, senza una protezione adeguata. Proprio di recente, Toyota ha ammesso di aver perso 10 anni di dati, tutti raccolti da milioni di veicoli cloud-enabled. Dagli archivi Audi sono trapelate informazioni su 3,3 milioni di clienti. Anche altre case automobilistiche sono state vittime di violazioni dei dati e attacchi informatici. Se una tale quantità di dati personali finisse nelle mani di veri criminali e truffatori, anziché in quelle di semplici esperti di marketing, potrebbe verificarsi un vero e proprio disastro.

Furti. Nel 2014 abbiamo testato la possibilità di rubare un veicolo tramite le funzioni cloud. Dal 2015 è ormai chiaro che quella del furto di un’auto da remoto non è una fantasia futuristica, ma una dura realtà. Negli ultimi anni, spesso per i furti d’auto viene sfruttato l’inoltro remoto del segnale di un portachiavi legittimo. Tuttavia, alla base dell’epidemia di “dirottamenti TikTok” di KIA e Hyundai dell’anno scorso c’erano le funzioni smart dei veicoli: i ladri non anno dovuto fare altro che inserire un’unità USB.

Sorveglianza dei familiari. Se l’auto non appartiene a te, ma a un familiare o all’azienda per cui lavori, il proprietario può tracciare la posizione dell’auto, limitarne l’utilizzo impostando limiti geografici, impostare limiti di velocità e tempi di guida consentiti e persino controllare il volume dell’impianto audio! Molte case automobilistiche, come Volkswagen e BMW, offrono funzionalità simili. Come sappiamo dalla nostra ricerca sugli stalkerware e dai recenti scandali sul monitoraggio degli AirTag, si tratta di capacità che praticamente chiedono di essere usate in modo improprio.

Come ridurre i rischi?

A causa della portata del problema, non esistono soluzioni semplici. Di seguito, in ordine decrescente di radicalità, trovi alcune misure che potresti adottare per tentare di minimizzare i rischi:

1. Andare a piedi o in bicicletta.
2. Acquistare un vecchio modello di auto. Le capacità di raccolta e trasmissione dei dati di quasi tutte le auto prodotte prima del 2012 sono molto limitate.
3. Acquistare un’auto con un set minimo di sensori “intelligenti” e/o nessun modulo di comunicazione. Alcuni produttori offrono configurazioni di base con capacità limitate, ma è richiesta un’attenta lettura del manuale dell’utente. L’assenza di un modulo di comunicazione dedicato (GSM/3G/4G) all’interno dell’auto indica che le capacità del veicolo sono limitate. È importante notare che oggi sempre più auto sono dotate di funzionalità smart anche nelle configurazioni di base (come già accaduto in passato per le Smart TV: traggono profitto dalla raccolta e dalla vendita di dati).
4. Non installare l’app mobile dell’auto sul telefono. Certo, poter avviare o scaldare l’auto dallo smartphone prima di salire a bordo è una comodità… Ma è davvero necessario pagare queste funzionalità cedendo informazioni così personali (oltre ai soldi spesi)? Ci sarebbe molto a discutere a questo proposito.
5. Non attivare le funzioni di accoppiamento CarPlay di Apple o o Android Auto. Quando queste funzioni sono attivate, il produttore del sistema operativo dello smartphone può ricavare dall’auto informazioni di tutti i tipi, che l’auto recupera a sua volta dal telefono.
6. Non connettere l’auto al telefono tramite Bluetooth o Wi-Fi. In questo modo, dovrai sì rinunciare ad alcune funzionalità, ma almeno la tua macchina non invierà informazioni al produttore tramite il telefono, né scaricherà la rubrica del telefono e altri dati personali. Puoi scendere a compromessi stabilendo una connessione Bluetooth solo per i protocolli “auricolare” e “cuffia”: sarai in grado di riprodurre la musica dal tuo telefono attraverso gli altoparlanti dell’auto, ma la trasmissione di altri tipi di dati (come la rubrica) sarà disabilitata.
7. Un consiglio extra, che non esclude i precedenti: Mozilla suggerisce di firmare una petizione collettiva rivolta alle case automobilistiche per esortarle a cambiare modello di business e a smettere di spiare i clienti per lucrare sulle loro informazioni personali. Ci auguriamo che la petizione vanga accolta positivamente!