TikTok, così accerta l'età ed esclude i bambini: gli strumenti utilizzabili - Agenda Digitale

l'idea

TikTok, così accerta l’età ed esclude i bambini: gli strumenti utilizzabili

Il noto tecnologo Stefano Quintarelli propone che TikTok, in ottemperanza al provvedimento del Garante Privacy italiano, utilizzi una identificazione indiretta tramite token spid o carta di credito. Resta il problema delle armi spuntate in sede sanzionatoria

24 Gen 2021
Stefano Quintarelli

Associazione Copernicani

Il Garante privacy italiano con il provvedimento riguardante TikTok a seguito del tragico evento di Palermo, forte degli strumenti messi a disposizione dalla normativa, ha dato un segnale inequivocabile di non tolleranza di abusi. Ma sui social il provvedimento  del Garante Privacy su TikTok è stato criticato da taluni sulla base di un paio di considerazioni principali: la prima che eventi di questo genere, anche con esiti tragici, sono sempre successi e la seconda che non è pensabile schedare gli utenti per verificare il rispetto delle previsioni di Legge – incorporate nei termini contrattuali dei vari servizi – che prevedono che i minori di 16 anni (in Italia i minori di 14 anni) non possano usare direttamente servizi che trattano dati personali in assenza di espressa e comprovata autorizzazione del titolare della responsabilità genitoriale.

La prima considerazione è fondata, ma non si può non considerare che l’aumento delle potenzialità di comunicazione dei più giovani e l’amplificazione dei messaggi portata da questi strumenti ha determinato  sia un aumento del rilevamento dei casi sia un aumento dei casi stessi. Il fatto che alcuni casi siano sempre successi non è nemmeno motivo per non intervenire in modo preventivo o correttivo nel momento in cui se ne abbia la possibilità.

La seconda considerazione è meno fondata. Non è necessario schedare nessuno, “chiedere la carta di identità a tutti”, per verificare il rispetto dei termini contrattuali. In primo luogo bisogna considerare che il contratto telefonico non può essere intestato a dei bambini. I titolari del contratto sono i genitori che danno il telefonino ai figli e, allo stesso modo, sono (dovrebbero essere) i genitori che aprono l’account dello store dove sono scaricabili le app, perché, anche in quel caso, è necessario autorizzare il minore e fornire uno strumento di pagamento valido, solo che in quest’ultimo caso si possono acquistare delle card prepagate che rendono questo vincolo meno efficace.

Chi scrive ha dato il cellulare ai figli da poco, solo al raggiungimento del 13esimo anno di età, spiegando molte volte e difendendo con loro i molti motivi per cui è sconsigliabile farlo prima. Il servizio pubblico dovrebbe fare opera di  divulgazione in merito sia nei confronti dei ragazzi che, soprattutto, dei genitori. Non è mai troppo tardi, ma in alcuni casi è troppo presto.

Per le ragioni sopra, non è possibile utilizzare il contratto telefonico per verificare l’età. Per gli operatori telefonici siamo tutti adulti e vaccinati. L’accesso alle app store con conseguente download delle app inadatte all’età potrebbe essere stato attivato direttamente da un minore, senza consapevolezza del genitore.

Usare le carte di pagamento o Spid/Cie per identificare l’età

TikTok potrebbe allora di implementare un semplice meccanismo di controllo con una attestazione indiretta. A tal fine potrebbero essere usate, come terze parti fidate, gli identity provider SPID e le carte di pagamento (escludendo quelle realizzate per i minori e le prepagate anonime). In questo modo, il minore che si trovi ad usare l’applicazione, dovrà richiedere un token di autenticazione SPID o numero di carta di pagamento ad un maggiorenne che, nel fornire detta autenticazione, si assume ogni responsabilità circa il consenso all’uso dell’applicazione da parte del minore.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence

Il social così avrebbe la conferma di essere davanti o a un maggiorenne (dotato di carta/spid) o di un minore soggetto alla sorveglianza di un genitore (che deve fornire carta/spid al minorie). Non sa quale delle due ipotesi è vera, ma che almeno una delle due lo è ed è quanto basta per tutelare i minori.

Entrambi i sistemi dovrebbero essere consentiti poiché non tutti dispongono di carta di pagamento, mentre l’identità elettronica è certamente accessibile gratuitamente a tutti, mediante i noti strumenti di SPID o della Carta di Identità Elettronica.

Oggi non c’è alcun controllo. Le applicazioni che nelle loro condizioni contrattuali prevedono che non possano essere utilizzate dai bambini vengono solo classificate negli app store come “Supervisione dei genitori”. E non tutte.

Aggiornamento 26 gennaio: dopo la pubblicazione di quest’articolo la sottosegretaria alla Salute Sandra Zampa ha pure proposto un accertamento dell’età via Spid.

Il social non avrebbe i dati dell’utente

Attenzione: l’uso della carta o di Spid non implica che il social (o un altro soggetto simile) abbia il dato immesso dall’utente, la carta o Spid. Il sistema può essere progettato in modo che il social sappia solo che è stata immessa una carta valida o che effettivamente c’è uno spid. L’intermediario già esistente, rispettivamente la banca o il provider spid, fornirebbe questa informazione (carta valida/presenza spid) al social.

Le banche sono già pronte a questo. Gli identity provider dovranno invece fare una piccola modifica al sistema per poter fornire al service provider (il social) solo l’informazione presenza spid sì/no.

Come applicare il sistema di identificazione

Per limitare il numero di frodi nell’identificazione, una tale verifica non dovrebbe essere limitata solo all’attivazione dell’account, ma essere ripetuta con periodicità casuale. Un sistema di moderazione, sia svolto da umani che da intelligenza artificiale, una volta individuata una categoria di contenuti a rischio, quale la gara in cui ha perso la vita la ragazzina palermitana, potrebbe riproporre la verifica nel momento preventivo alla visualizzazione di quei contenuti, e bloccare l’applicazione sino alla positiva verifica.

Un’analisi dei dati potrebbe rivelare autenticazioni plurime scorrelate quale ad esempio il medesimo token di autenticazione/numero di carta utilizzato per attestare l’autorizzazione di un eccessivo numero di minori o di minori geograficamente distanti, potendo segnalare le anomalie alle autorità. Un genitore che riscontrasse la presenza dell’app sul dispositivo del figlio, senza averne concesso l’autorizzazione, potrebbe segnalare tramite la stessa app l’avvenuta attestazione illecita da parte di un terzo, eccetera.

Un tale sistema risulta di quasi totale applicabilità in quanto il numero di nuclei famigliari italiani senza né SPID né carta di pagamento è modesto e comunque esistono numerose possibilità di ottenerli svolgendo una adeguata verifica online a costo zero.  Dal punto di vista implementativo la realizzazione è semplice ed economica, immediatamente implementabile e di elevata efficacia, nel pieno rispetto della privacy delle persone.

Tutti i social devono ottemperare

Un simile provvedimento, tuttavia, non dovrebbe essere limitato a TikTok ma dovrebbe essere esteso ai social maggiormente diffusi. Un monitoraggio attivo consentirebbe di identificarli nel tempo. Sono numerosi i casi di applicazioni che prevedono nei loro termini contrattuali l’impossibilità di utilizzo da parte dei bambini ma poi non svolgono alcun tipo di controllo, mentre alcuni sistemi più virtuosi già iniziano a richiedere una carta di credito (ma non ancora un’identità elettronica) come prova di età per l’autorizzazione del genitore quando l’utente che si registra digita un’età inferiore a 14 anni.

La guerra del Garante Privacy contro i social, per i minori: che succede ora

La responsabilità delle aziende tecnologiche sui minori

Vi è una chiara responsabilità da parte di alcune applicazioni che hanno privilegiato l’acquisizione di quote di mercato, secondo un malcostume comune, tollerante rispetto a una superficiale verifica degli utenti di età under 14. Il meccanismo sopra descritto basato su carte di pagamento e identità poteva da sempre essere implementato da ciascun social per assicurarsi dell’effettivo consenso dei genitori all’uso, se la loro tutela fosse stata solo considerata con il dovuto riguardo.

Naturalmente questo avrebbe ridotto la loro penetrazione nel mercato, dato che nessuno dei concorrenti lo faceva. Anzi.

In alcuni casi, nonostante i termini contrattuali, come una foglia di fico, prevedessero il divieto per i bambini, poi sugli store le applicazioni venivano classificate come PEGI3, ovvero adatte a bambini dai 3 anni in su. Le cose sono in parte cambiate dopo l’entrata in vigore del GDPR che ha portato molte applicazioni ad essere classificate, come detto “Supervisione dei genitori” aggiungendo foglia di fico a foglia di fico. Altre non sono state adeguate, come ad esempio Whatsapp che sul Play Store è ancora classificata PEGI3.

Quali sanzioni possibili

E se le aziende non ottemperano? Sulla materia il Garante privacy italiano ha sì i nuovi strumenti del Gdpr – con sanzioni fino al 4 per cento del fatturato globale dell’azienda – ma  sono strumenti abbastanza spuntati dal meccanismo dello “One stop shop” che prevede che la sede competente sia quella del paese ove è stabilito il fornitore del servizio; per quanto riguarda le grandi piattaforme internazionali si tratta dell’Irlanda il cui Garante della protezione dei dati personali non brilla certo per iniziativa. Vedremo se e come il nostro Garante vorrà andare in fondo con eventuali sanzioni; certo è che per farlo dovrà parlarne in sede europea.

Altre autorità italiane possono comunque intervenire.

Agcom e Antitrust

Questa strategia di trascurare l’introduzione di frizioni all’uso per la tutela dei minori a vantaggio di una più semplice acquisizione di quote di mercato è stata anche oggetto di esposti presso l’Autorità Garante della Concorrenza e del Mercato titolare della tutela dei consumatori e ciò in quanto il Codice del Consumo prevede particolare severità quando si tratta di tutela dei minori: sono infatti qualificate come “scorrette” e soggette alle sanzioni più elevate applicabili dall’Autorità Garante della Concorrenza e del Mercato in materia di consumatori le pratiche commerciali che, in quanto suscettibili di raggiungere bambini e adolescenti, possono, anche indirettamente, minacciare la loro sicurezza.

AGCM ha, peraltro, in questa materia, negli anni scorsi,  sanzionato Whatsapp con una sanzione di 3 milioni di Euro complessivi (non elevata se rapportata al fatturato della controllante Facebook) solo per la modalità vessatoria e poco trasparente di accettazione dei propri termini e condizioni imposta agli utenti e per le modifiche dei termini e condizioni dirette a pratiche di condivisione dei dati con Facebook.

Le applicazioni di messaggistica che usano il numero telefonico per individuare gli interlocutori e consentirne la comunicazione sfruttano una risorsa disciplinata su base nazionale, il numero di telefono appunto, che impone, in virtù del Codice delle Comunicazioni, precisi obblighi ai fornitori. L’Autorità per le Garanzie nelle Comunicazioni (Agcom), in passato investita di un paio di casi che utilizzavano il numero telefonico in modo “over the top” si è espressa in modo difforme imponendo obblighi ad un fornitore italiano e ritenendo di non dovere intervenire per un fornitore multinazionale.

Se in passato non si è ritenuto di intervenire per tutelare i bambini, oggi il Garante per la protezione dei dati personali dà un chiaro segnale che bisogna fare qualcosa. Se ci si fermasse alla sola TikTok, si interverrebbe nel mercato creando squilibri a vantaggio di altri fornitori che si comportano nello stesso modo o anche peggio, come si è visto.

La questione investe, per competenze diverse, le tre Autorità di garanzia. Vedremo se cambierà qualcosa o se si tornerà a parcheggiare sui marciapiedi.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3