Siri e quelle conversazioni registrate "per errore": un finale alternativo è possibile?

Jacopo Franchi

Jacopo Franchi

7 min read
Siri e quelle conversazioni registrate "per errore": un finale alternativo è possibile?

Dieci anni fa, nel 2014 per la precisione, un numero indefinito di dispositivi Apple ha cominciato a registrare conversazioni personali a causa di continue attivazioni "errate" del microfono dell'assistente vocale Siri. Queste registrazioni non autorizzate sono avvenute più volte, nel corso del tempo, senza che l'azienda si preoccupasse di verificare il corretto funzionamento dei dispositivi su cui l'assistente vocale era stato installato. Questo è quanto Apple stessa ha ammesso, all'inizio del 2025, dopo essere stata citata in giudizio da una class action di cittadini statunitensi, con l'accusa di aver utilizzato i dati delle registrazioni ottenute in maniera illecita per finalità pubblicitarie.

Cento dollari massimi di risarcimento per oltre dieci anni di conversazioni registrate illecitamente dall'assistente Siri

Apple, pur ammettendo i problemi di riconoscimento vocale dei suoi dispositivi e offrendo una somma cospicua per il risarcimento (di cui, come spiegherò a breve, arriverà ben poco nei conti bancari dei singoli clienti) ha confermato, tuttavia, solo una parte delle accuse a suo carico: l'azienda - che, sottolineo, ha fondato sulla promessa di una massima tutela della privacy una parte consistente del proprio successo commerciale - ha dichiarato che dispositivi come Home Pod, MacBook, iPhone, iPod touch, Apple Tv, Apple Watch, iPad hanno registrato le conversazioni degli utenti anche quando questi non pronunciavano la frase di attivazione "Ehi, Siri!", ma ha negato che le registrazioni stesse siano state rivendute a terzi al fine di creare delle pubblicità personalizzate.

La class action, avviata nel 2021, dovrebbe quindi concludersi entro febbraio 2025 - se il giudice del tribunale presso cui la causa è stata depositata accetterà la proposta di accordo transattivo da parte di Apple - con la cancellazione di tutti i dati illecitamente raccolti prima del 2019 e un risarcimento per ogni utente che dichiarerà sotto giuramento di essere stato registrato a sua insaputa. Il risarcimento, quantificato in 95 milioni di dollari, corrisponderà a circa 20 dollari per ciascun dispositivo impiegato dagli utenti, fino a un massimo di cinque dispositivi. Cento dollari di risarcimento, quindi, per dieci anni di registrazioni illecite: una cifra curiosamente simile al prezzo di un dispositivo come Home Pod, lo smart speaker con Siri incorporata.

Tutte le situazioni in cui un assistente vocale può attivarsi per errore e la sproporzione tra violazione subita e risarcimento

Chi ha letto il mio libro "L'uomo senza proprietà" sa che i casi di estrazione indebita di dati personali sono molto frequenti nell'ambito degli oggetti connessi, e che Apple non è la prima, né sarà l'ultima azienda ad essere accusata di raccogliere illecitamente informazioni che sarebbero dovute rimanere private. Non era mai successo, tuttavia, che un'azienda di questa rilevanza ammettesse così candidamente un difetto di funzionamento dei propri prodotti e servizi di punta e, al tempo stesso, proponesse di pagare una somma così esigua - per non dire ridicola, dopo tutto il tempo trascorso - per il danno inflitto ai suoi clienti.

Perché Apple avrebbe dovuto pagare di più? Perché un microfono che si attiva casualmente in un ambiente domestico potrebbe registrare una casistica potenzialmente infinita di conversazioni personali e a rischio di essere strumentalizzate o usate contro le persone spiate: conversazioni tra genitori e figli, litigi di coppia, rapporti sessuali, telefonate agli amici, discussioni con estranei, conversazioni tra bambini, telefonate di lavoro, senza che nessuna delle persone coinvolte possa accorgersene per tempo. Per questo, deve far riflettere la sproporzione tra la possibile gravità della violazione e l'irrilevanza della somma offerta in risarcimento ai singoli, soprattutto se si tiene conto che non è prevista alcuna distinzione tra le persone più danneggiate e a maggiore rischio e coloro che non hanno subito alcun danno significativo.

Un precedente rilevante (e rischioso) del valore di mercato dei dati personali, che rispecchia una situazione accettata dai più

Se Apple ha deciso di offrire un risarcimento simile, e se esso finora non ha suscitato reazioni negative in quantità rilevanti da parte dei suoi clienti, molto probabilmente questo avviene perché il valore economico attribuito alla privacy delle persone non è poi così distante dalla cifra sopra menzionata. La class action che si è conclusa con un'ammissione di colpa di Apple segna quindi un precedente importante e un termine di riferimento per il "valore di mercato" che verrà attribuito in futuro alle registrazioni illecite delle conversazioni personali, che potranno essere accumulate per anni in cambio del pagamento di una somma simbolica e della promessa generica di non commettere più lo stesso reato (pardon, "errore").

Casi come questo aiutano a comprendere la distanza esistente tra il valore attribuito alla privacy a parole dalle leggi, dalle autorità e dagli stessi cittadini interrogati periodicamente in merito dai maggiori istituti di ricerca internazionali, e l'effettivo valore "di scambio" che la privacy stessa riceve ogni volta che si tratta di quantificare il danno inferto da violazioni accertate. Le effettive possibilità di ottenere un risarcimento adeguato all'entità delle violazioni di dati personali sono, ad oggi, minime, e delle sanzioni multimilionarie inflitte alle aziende colpevoli di aver trattato illecitamente i dati nessuna percentuale è mai finita nelle tasche di nessuna vittima, malgrado i gravi danni subiti. Venti euro per dispositivo, in questo scenario, potrebbero essere paradossalmente un risarcimento di gran lunga superiore alla media globale per casi analoghi.

Il documento della proposta di accordo transattivo di Apple nei confronti dei depositari della class action, che dovrà essere approvato da un giudice

I competitor di Apple danneggiati dalle mancanze nei controlli sui prodotti e dalla raccolta illecita di dati di utilizzo

Se un congruo risarcimento a coloro che hanno subito una violazione della propria privacy è ancora niente più che una speranza per il futuro, nondimeno esso potrebbe diventare una possibilità concreta per le aziende in competizione con soggetti come Apple. Coloro che hanno creato assistenti virtuali simili a Siri ma più attenti alla tutela dei dati personali o, quantomeno, in grado di riconoscere con maggiore sicurezza la propria "frase di attivazione", potrebbero ritenersi danneggiati dalle noncuranze del loro principale "competitor", oltreché dall'accumulazione indebita di dati che potrebbero aver contribuito in maniera significativa al miglioramento degli stessi prodotti di Apple.

Lo sviluppo di tecnologie, processi e controlli a tutela della privacy rappresenta un costo oggi non indifferente per le aziende, soprattutto nell'Unione Europea dove le leggi in merito sono sempre più stringenti e rigorose. Aziende come Apple che per dieci anni non hanno mai verificato che i propri dispositivi non raccogliessero "per errore" le conversazioni private degli utenti hanno - per questo semplice motivo - acquisito un vantaggio significativo in termini di risorse risparmiate e di dati raccolti rispetto a potenziali competitor, ma la proposta di risarcimento non contempla in alcun modo il danno "indiretto" inferto a questi ultimi e le distorsioni operate sul mercato.

Un possibile finale alternativo: finanziare la crescita di soluzioni e startup concorrenti con le sanzioni associate ai casi più gravi di violazione dei dati personali

Se novantacinque milioni di dollari suddivisi tra centinaia di migliaia di clienti si rivelano, a conti fatti, ben poca cosa, essi potrebbero assumere un peso ben maggiore qualora fossero redistribuiti tra le aziende competitor di Apple e danneggiate dal comportamento di quest'ultima. Soprattutto in un momento in cui i costi imposti dall'adeguamento alle regolamentazioni penalizzano in modo particolare le startup e le aziende tecnologiche europee nella loro competizione con le Big Tech, nate in un'epoca in cui regolamenti come il GDPR erano ancora ben al di là da venire.

Per questo motivo, nell'attesa che la tutela della privacy smetta di essere un'aspirazione astratta e lasciata all'iniziative delle vittime per cominciare a diventare un diritto concreto, tutelato dalle leggi e da azioni di controllo proattive e preventive sui prodotti digitali più invasivi, finanziare le nuove startup hi-tech con i proventi delle sanzioni comminate alle aziende responsabili delle violazioni più gravi (e che hanno tratto da queste ultime un indebito vantaggio competitivo) potrebbe quantomeno rivelarsi un modo per riequilibrare i rapporti di forza tra chi non rispetta la legge e chi ne assorbisce, fin dall'inizio, tutti gli oneri con scrupolo e coscienziosità. A beneficio di tutti.

Fonti e letture consigliate per approfondire:

Diritto di replica:

Altre notizie da conoscere dal mondo degli oggetti digitali per approfondire, per tutelarsi, per chiedere che venga fatta chiarezza:

  • Se il rischio comincia dal router. I router TP-Link, molto diffusi negli Stati Uniti, potrebbero rappresentare un rischio per la sicurezza nazionale: le vulnerabilità dei dispositivi del produttore cinese potrebbero essere state utilizzate per attacchi contro infrastrutture critiche del Paese, già alle prese con dilemmi esistenziali in merito al ban di TikTok. (Fonte: Punto Informatico)
  • Le app di dating non sono sicure, e questa è un'ulteriore prova. Il data broker Gravy Analytics ha subito un grave furto di dati provenienti da app come Tinder, le app di tracciamento delle mestruazioni, le app utilizzate a scopo di pratica religiosa. Dati estratti, con ogni probabilità, senza che utenti e sviluppatori ne venissero a conoscenza, come spiegato in questo articolo di 404 Media.
  • TikTok viola il GDPR? Intanto, scatta la denuncia. Mentre milioni di utenti europei utilizzano quotidianamente servizi come TikTok, Shein, AliExpress, questi ultimi inviano dati in Cina e si rifiutano di rispondere alle richieste di accesso ai dati stessi, obbligatorie per legge. Per questo motivo l'organizzazione noyb di Max Schrems (una figura ben nota ai lettori del mio libro) ha deciso di aprire un procedimento formale contro queste società ai sensi del GDPR (fonte: Wired).
  • "Sappiamo dove si trova la tua auto". Una configurazione cloud sbagliata ha permesso al Chaos Computer Club (la principale associazione europea di hacker) di accedere ai dati di localizzazione di 800 mila vetture elettriche di Volkswagen, Audi, Skoda e Seat, con approssimazioni di dieci centimetri. Con questi dati è stato possibile ricostruire gli spostamenti tanto di comuni cittadini, quanto di politici tedeschi (Fonte: CyberSecurity 360)

Per concludere, un piccolo aggiornamento sul percorso de "L'uomo senza proprietà": sono molto felice che il saggio sia stato selezionato tra i "libri consigliati" dalla trasmissione "Milleeunlibro" di Rai 1 (puntata del 23 dicembre 2024) ma sono ancora più felice che esso sia già presente in una trentina di biblioteche in tutta Italia. Spero che altre possano aggiungersi, in futuro.

Read more