Di reCaptcha e privacy policy

TL;DR Il portale dei “pagamenti del cittadino” a cui hanno aderito molte amministrazioni pubbliche include le librerie di Google reCaptcha senza che questo sia indicato nella privacy policy. Una dimenticanza importante, perché i server del gigante di Mountain View riceve alcuni dati personali dei cittadini che si trovano a voler pagare le imposte attraverso questa piattaforma.

“L’uomo dovrebbe mettere altrettanto ardore nel semplificare
la sua vita quanto ce ne mette a complicarla.”
Henri Louis
Bergson

Il mio Comune ha aderito, per la ricezione dei pagamenti di alcune imposte attraverso PagoPA, a una piattaforma web “plugandpay.it” sviluppata da una azienda di Roma, la E-fil srl.

Curioso come sono, ho dato un’occhiata alla privacy policy della piattaforma che indica sia chi è il Titolare dei dati (“Il titolare del trattamento dei dati personali è L’ente Pubblico Creditore che usufruisce del Portale per veicolare i pagamenti dei propri tributi o servizi sul sistema pagoPA.“) che gli eventuali ulteriori soggetti che, per motivi tecnici e operativi, ricevono i dati personali degli utenti.

Sono indicate sia la società che ha sviluppato e mantiene operativo il portale, la E-fil, che altri due soggetti privati: SIA S.p.A. e Microsoft (nota a margine, sarebbe stato interessante capire se parliamo di Microsoft Italia Spa oppure qualche altro soggetto riconducibile alla nota multinazionale di Redmond…). Tra l’altro, l’informativa non riporta i dati di contatto del DPO –Data Protection Officer, come richiesto dalla normativa, limitandosi solamente a indicarne il nome.

Tuttavia l’analisi delle connessioni effettuate quando l’utente accede alle pagine relative al servizio di pagamento su uno dei sottodomini .plugandpay.it rivela che il browser si connette sia al dominio google.com che gstatic.com, entrambi non indicati nella privacy policy.

L’analisi del codice HTML rivela, a conferma, l’uso dello strumento reCaptcha fornito da Google, attraverso l’incorporamento del relativo javascript. Una chiamata HTTPS al server di google.com, che invia i dati dei cittadini (quali IP, tipologia di browser usato etc.) al colosso di Mountain View, senza che questo sia specificato. Tale libreria, peraltro, viene caricata immediatamente non appena il cittadino approda sul portale dei pagamenti.

Avrebbero dovuto indicarlo? Si, assolutamente.

Come indicato anche nell’articolo Privacy Policy for ReCAPTCHA, che fornisce alcuni dettagli utili, l’uso del modulo reCaptcha permette ai relativi servers di acquisire i seguenti dati degli utenti:

  • Typing patterns of the user
  • The amount of mouse clicks a user has done on the site or touches on an app
  • What language the user’s browser is using
  • Google cookies that have been placed on the site
  • The answers to question fields on the site
  • CSS information
  • Plug-ins installed on the browser

The algorithm also recognizes IP addresses that have been previously recognized as humans through cookies.

Essendo un servizio offerto dalle amministrazioni pubbliche per consentire ai propri cittadini di pagare i tributi via web, mi sarei aspettato maggiore attenzione su questi aspetti.

In seguito al mio tweet sulla vicenda, Simone Brunello ha condotto una ulteriore, e più approfondita, indagine sul servizio, che trovate qui: github.com/simone36050/efil-privacy.

I risultati ottenuti in seguito alle analisi effettuate evidenziano qualcosa come oltre 900 comuni/unioni dei comuni che hanno aderito a tale piattaforma, oltre a qualche centinaio di altre realtà pubbliche e private.

Non ho verificato tutte le privacy policy ma, consultandone alcune a campione, nessuna di evidenzia la presenza di reCaptcha né di altri prodotti offerti Google.

Nel frattempo ho provveduto a informare il Titolare e il DPO del mio Comune su questa mancanza nella privacy policy, mettendo in copia conoscenza anche la società E-fil. Al momento, giusto per completezza d’informazione, ancora nessuna risposta.

Sorprende, ma forse neanche più di tanto, che né il Titolare né il DPO si siano accorti di una simile grossolana mancanza.

Per concludere, in tutta onestà non capisco il bisogno d’includere questi prodotti, abbastanza invasivi della privacy, in un portale di pagamento istituzionale. Credo che i siti web istituzionali e le piattaforme a essi collegati, anche se offerte da aziende private, dovrebbero rifuggire, per quanto possibile, strumenti di tracciamento che invadono la privacy dei cittadini e che, in più, talvolta sfuggono al controllo del Titolare stesso.

Nella speranza che la segnalazione possa aiutare a porre rimedio, presto parleremo anche di come la complessità tecnologia, spesso artificiosa, abbia reso più complicata la nostra quotidianità di cittadini. Stay tuned!

Questo articolo è stato visto 62 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.