Sicurezza VPN: alcune app raccolgono i dati degli utenti

Se le VPN sono state create per proteggere i dati personali dell’utente, alcuni fornitori non si fanno scrupoli nell’utilizzarli. Ciò è quanto emerso da una ricerca americana su alcuni servizi VPN popolari.

Le VPN sono davvero sicure?

Nonostante per molto tempo siano state riservate ai professionisti, le VPN (Virtual Private Network) negli ultimi anni sono diventate sempre più popolari tra il grande pubblico. Ciò è dovuto alla facilità d’installazione e di utilizzo, al fatto che riescono a proteggere la connessione dell’utente, garantirne l’anonimato e modificare l’indirizzo IP (ovvero la geolocalizzazione) per accedere a servizi altrimenti inaccessibili, come ad esempio le piattaforme di streaming all’estero. Questi e altri motivi fanno sì che molti utenti utilizzino le VPN quotidianamente.

Le VPN sono per loro natura delle intermediarie e, per questo motivo, “vedono” passare tutte le informazioni che transitano tra gli utenti e i siti che consultano. Alcune sono evidenti e necessarie mentre altre più riservate (in linea di principio crittografate), come ad esempio nome utente, password, dati bancari, ecc. Anche se sembra normale che gli editor di VPN conservino alcune informazioni statistiche – indispensabile per fornire dei pacchetti secondo la quantità di dati consumati o limitare le connessioni ad un certo numero di dispositivi – è possibile interrogarsi sull’uso che fanno degli altri dati più sensibili, come i dati dei diti visitati o altri ancora più riservati, soprattutto quando si sa che la maggior parte dei fornitori propongono dei servizi gratuiti vive dello sfruttamento dei dati personali. In questo campo, sembra che non tutte le VPN la pensino allo stesso modo.

Per andare oltre, il Washington Post si è posto la domanda analizzando, con l’aiuto di esperti, la natura e la quantità dei dati raccolti da alcune VPN. Questi si sono focalizzati su app gratuite molto popolari, in particolare di provenienza cinese. Il quotidiano ha scoperto che queste presentano dei rischi in materia di protezione dei dati, arrivando a dire che queste raccolgono più dati di TikTok! Tuttavia è necessario porre questa analisi (e la sua conclusione) all’interno dell’attuale contesto delle relazioni diplomatiche ed economiche tra Cina e Stati Uniti, essendo gli americani sospettosi riguardo a tutto ciò che proviene dalla Cina, in particolare quando si tratta di tecnologia. Testimonianza di ciò è la crisi relativa al ban di TikTok sul suolo statunitense e in altri paesi. Il fatto che il Washington Post si sia concentrato su VPN cinesi non è quindi un caso.

Sicurezza delle VPN: i dati personali che vengono salvati

Come la maggior parte degli strumenti che offrono dei servizi online, le VPN salvano e conservano alcuni dati in file d’identificazione, in modo da gestire i loro utenti: nome e cognome, indirizzo email e dati bancari (nel caso venga sottoscritto un abbonamento a pagamento). Ciò è normale e, a priori, non dovrebbe causare alcun problema. Tuttavia, queste app utilizzano anche dei “diari di bordo” - log in inglese – che contengono l’indirizzo IP dell’utente, il tempo di connessione al servizio, gli indirizzi IP di destinazione, il volume dei dati scambiati al giorno, i dettagli della sessione di connessione, ecc. Ciò rende le cose un po’ più complicate. Per sapere esattamente quali dati raccoglie la VPN utilizzata, è necessario consultare le condizioni generali di vendita del fornitore, sperando che queste siano trasparenti.

C’è una grande differenza tra la quantità e la natura dei dati personali salvati dalle VPN a pagamento e quelle gratuite, poiché quest’ultime hanno la tendenza a rivendere alcuni dati personali a servizi terzi (è la base del loro modello economico). Secondo uno studio realizzato dal Washington Post, alcune tra le VPN più popolari hanno ingannando i consumatori sulle loro pratiche, nascondendo la loro origine, la loro attività, e la loro sede. Il quotidiano ha poi puntato il dito contro le VPN cinesi o controllate da imprenditori cinesi, poiché il governo di Pechino può costringere le società tecnologiche cinesi a fornire informazioni alle autorità governative.

Sicurezza delle VPN: la non trasparenza sulla privacy

Strano ma vero, queste VPN problematiche sono messe in vetrina dai giganti dell’informatica, come Google e Apple. Infatti, questi vendono loro degli spazi pubblicitari sul Google Play e l’Apple Store e prendono una commissione per ogni acquisto effettuato sulla piattaforma. Il Washington Post ha fatto l’esempio dell’app Turbo VPN, che si trova nei primi risultati sul Google Play Store e ha ottenuto più di 100 milioni di download. Se si guarda più attentamente, è possibile notare che Innovative Connecting, il suo editore, è registrato nelle Isole Cayman, ma ha la sede a Singapore. Andando ancora oltre si può scoprire che, negli anni, molti amministratori della società sono stati cittadini cinesi. Come riportato dal quotidiano, “Come molte altre app, non è possibile dimostrare chi siano i veri proprietari”. Bisogna inoltre notare che, nelle sue condizioni di vendita, Turbo VPN indica che non salva un registro delle attività e trasmette soltanto dati anonimi o relativi al funzionamento dell’app (bug tecnici, errori di connessione, diagnosi, ecc.).

Per quanto riguarda Thunder VPN, altra app che appare nei primi risultati del Google Play, questa appartiene a Signal Lab, ma non ha nulla a che fare con l’app di messaggistica criptata Signal. La società, con base ad Hong Kong, nei termini del servizio indica che la sua VPN non salva il diario delle attività degli utenti, ma può raccogliere le ore di connessione al suo servizio, la quantità totale dei dati trasferiti al giorno, ecc. In più, la società si riserva il diritto di sorvegliare l’attività dell’utente per vigilare su “tutte le violazioni possibili” delle condizioni d’uso, ma si riserva anche il diritto “a nostra discrezione e senza preavviso, di bloccare, filtrare o limitare con ogni mezzo qualsiasi materiale o informazione considerata violazione effettiva o potenziale delle limitazioni elencate nei presenti Termini, e tutte le altre attività che potrebbero esporre VPN o i suoi utenti a responsabilità”. Curioso, ma non proprio rassicurante.

Il Washington Post ha inoltre chiesto a Google e Apple informazioni su queste VPN che autorizzano sui propri store ufficiali. Entrambe le aziende hanno dato delle risposte piuttosto vaghe. Apple ha risposto che “ le app di VPN sono degli strumenti potenti che possono essere utilizzati per tracciare il traffico internet degli utenti. Abbiamo delle direttive restringenti su ciò che devono fare gli sviluppatori di app VPN per essere sull’App Store”. Dall’altra parte, l’azienda di Redmond ha spiegato che “Google ha delle politiche per garantire la sicurezza degli utenti e degli sviluppatori e queste devono essere rispettate anche dalle app di VPN. Prendiamo sul serio i reclami sulla sicurezza e sulla privacy nei confronti delle app e, se constatiamo che un’app viola le nostre norme, adottiamo le misure appropriate”.

Certo, l’inchiesta del Washington Post è da inserire nel contesto di sospetti di ingerenze e spionaggio cinese che regna negli Stati Uniti. Quindi, anche se questi risultati vanno presi con le pinze, bisogna dare al quotidiano il merito di aver evidenziato un aspetto sconosciuto (e sottovalutato) delle VPN: ovvero l’effettivo utilizzo dei dati trattati da questi servizi. Va bene affidarsi ad una VPN per proteggere la propria connessione, ma bisogna avere anche completa fiducia nella riservatezza di tutte le informazioni che queste gestiscono.

Foto: © Unsplash.

I nostri contenuti sono creati in collaborazione con esperti di high-tech, sotto la direzione di Jean-François Pillou, fondatore di CCM.net. CCM è un sito di high-tech leader a livello internazionale ed è disponibile in 11 lingue.
Il documento intitolato « Sicurezza VPN: alcune app raccolgono i dati degli utenti » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.