NEWSLETTER - IL CAFFE' DIGITALE
Assistenti vocali: tante registrazioni, poca privacy

N.  Settembre 2019
        

a cura di Elena Vaciago 
Associate Research Manager, The Innovation Group

 

Il successo degli home assistant, con Amazon in prima fila (ha venduto oltre un centinaio di milioni di smart assistant, e solo negli USA si stima che 50 milioni di persone fanno uso di questi device) sta cambiando le abitudini delle persone, che ora usano questi device per ascoltare musica, giocare, parlare, controllare i sistemi smart domestici come illuminazione, tv, radio, aria condizionata. Il mercato vede la presenza anche di Google (con gli assistant Home e Home Mini) e Apple (Home Pod), ma rimane largamente dominato da Amazon, con i sistemi Echo e Echo Dot. Quello che però sta emergendo sempre di più, è una scarsa attenzione di tutti alla privacy e alla sicurezza delle informazioni dei clienti: qualcuno potrebbe cominciare a chiedersi se è il caso di tenere in casa un sistema che registra, trasmette e mantiene in memoria (nel cloud) tutto quello che ascolta.

 

 

Di recente, confermando le preoccupazioni dei più, Amazon ha dichiarato che le registrazioni della voce di chi usa lo smart assistant Alexa sono conservate per un tempo indefinito a meno che il cliente si preoccupi lui di cancellarle. Questa dichiarazione segue di pochi mesi la notizia secondo cui operatori umani ascoltavano le conversazioni private con Alexa (senza che fosse stato esplicitamente dichiarato nelle policy rivolte ai clienti), da cui erano seguite numerose domande sulle pratiche di privacy e sicurezza seguite dal colosso del web. Era emerso infatti che dipendenti di Amazon in tutto il mondo (da Boston alla Costa Rica, dall’India alla Romania) ascoltavano fino a 1.000 audio clip al giorno per contestualizzare e “allenare” l’intelligenza artificiale di Alexa a comprendere meglio i comandi voce. Amazon aveva in quel caso risposto che “I dipendenti non hanno accesso diretto alle informazioni per identificare una persona o un suo account personale durante tutto il flusso del lavoro. Le informazioni trattate sono gestite in mondo confidenziale e gli accessi garantiti con autenticazione multifattore, con crittografia e audit per tenere sotto controllo e proteggere tutto l’ambiente”. Ma, contestualmente, era anche emerso che alcune delle registrazioni avvenivano all’insaputa dei clienti. In teoria l’assistente dovrebbe attivarsi solo quando riceve un comando vocale: invece in alcuni casi Alexa comincia a registrare in autonomia. In particolare, era emerso che almeno 100 trascrizioni di file audio al giorno avvenivano in questi momenti.

 

 

In maggio un senatore democratico, Chris Coons ha quindi chiesto esplicitamente – con una lettera rivolta a Jeff Bezos (come ha segnalato il sito CNET) – per quanto tempo la società conservasse in archivi digitali sia i file con le registrazioni voce, sia le trascrizioni degli stessi.

La risposta è stata però che non c’è un termine alla conservazione, senza tanti scrupoli e soprattutto senza attenzione alle clausole di data retention disposte dal GDPR (che chiede esplicitamente di informare i clienti sulla durata su cui saranno mantenuti archivi con dati personali). Come nel caso di Facebook (che però, per cattive pratiche di sicurezza e privacy collegate allo scandalo Cambridge Analytica del 2018 ha patteggiato con la FTC una multa da 5 miliardi di dollari) anche Amazon sembra fare tranquillamente a meno delle norme vigenti sulla privacy.

Nel caso specifico dell’interrogazione ricevuta da Chris Coons, Brian Huseman (VP di Amazon per la public policy) ha risposto in una lettera datata 28 giugno: “Conserviamo le registrazioni voce dei clienti e le trascrizioni fino a quando un cliente non decide di cancellarle. […] Quando questo dovesse avvenire, cancelliamo anche la trascrizione associate, quindi sia la domanda del cliente che la risposta data da Alexa”. Però aggiunge che, se la copia dell’audio in caso di richiesta del cliente sarà cancellata, “potremmo comunque mantenere altre informazioni sulle interazioni tra il cliente e Alexa, ad esempio, record con le azioni intraprese da Alexa per rispondere alle richieste del cliente”.

Quindi, a meno che un cliente sappia come cancellare i suoi file audio, e si preoccupi personalmente di farlo, tutto viene conservato da Amazon (sarà così interessante scoprire che oltre a poter cancellare i propri file, i clienti di Amazon Alexa possono anche riascoltarsi … e quindi ci possiamo immaginare chissà quali e quanti scenari di “maggiore trasparenza domestica” possono aprirsi rispetto al passato).

 

Come cancellare le singole registrazioni voce nell’app Alexa (Immagine di Rick Broida/CNET)

 

In base a quanto dichiarato dal portavoce di Amazon, inoltre, alcune informazioni sono conservate anche quando il cliente cancella le registrazioni. Pensiamo alla quantità di dati generati da tutte le transazioni gestite da Alexa: acquisti, ordini verso altri device, avvisi e allarmi. Pensiamo ai dati relativi a un pagamento di un acquisto gestito da Alexa, sicuramente condivisi con chi si occuperà di inviare il prodotto a casa. La conclusione di Coons, in una sua dichiarazione a CNET, è stata: “La risposta fornita da Amazon lascia aperta la possibilità che le trascrizioni con tutte le interazioni tra le persone e Alexa non siano del tutto cancellate dai server di Amazon, anche quando un utente cancella la registrazione della sua voce. Inoltre, non è chiaro fino a quale punto questi dati sono condivisi con terze parti, e come queste terze parti utilizzino e gestiscano queste informazioni”.

Per quanto riguarda Apple, nonostante la società abbia tradizionalmente puntato su valori come sicurezza e riservatezza, anche sul sistema di voice recognition di Siri (sia che si tratti di smartphone, sia che si tratti di smart assistant) qualche dubbio permane. Anche Apple gira le registrazioni a subfornitori che lavorano sugli algoritmi AI di riconoscimento vocale. Anche Apple è incappata in uno scandalo – quando il 3 luglio 2018, il ministro della Difesa britannico Gavin Williamson, mentre riferiva dinanzi al Parlamento sulla delicata situazione mediorientale, è stato interrotto dal suo iPhone che aveva confuso la parola “Syria” con “Siri”.

 

Gavin Williamson interrupted by Siri during Commons statement”, BBC.com, 3 luglio 2018

 

Più di recente poi Apple è anche incappata in un problema di sicurezza e “scarsa privacy” per l’Apple Watch: l’app “Walkie Talkie” dall’Apple Watch, pensata per lo scambio di messaggi vocali tra 2 persone direttamente tramite il wearable, aveva una vulnerabilità che permetteva a una terza persona (non autorizzata) di accedere a tutte le conversazioni. Scusandosi per l’inconveniente, la società di Cupertino ha subito sospeso l’app.

Categorie
FOCUS CYBER
IL CAFFÈ DIGITALE - ARCHIVIO
@TIG_italia