In questi giorni sta spopolando su tutti i social, da Instagram a Facebook: è FaceApp, un'app che esiste dal Gennaio 2017, ma che in questi giorni sta rimbalzando di bacheca in bacheca per il suo particolare Filtro invecchiamento. Dagli amici fino a VIP come Fedez, David Guetta e Enrico Mentana, sono moltissimi gli utenti che in meno di 48 ore hanno usato questa app. Eppure c'è qualcosa che non va, dietro l'apparenza di una innocua applicazione che invecchia i volti in maniera impressionantemente naturale.

FaceApp: da dove viene?
FaceApp ha debuttato appunto nel Gennaio 2017 e conta già oltre 80 milioni di utenti. Appartiene alla società russa Wireless Lab (sede a San Pietroburgo) ed è dotata di una serie di algoritmi che invecchiano, ringiovaniscono, trasformano uomini in donne e viceversa. FaceApp dichiara di avere base negli Stati Uniti, in dettaglio a Wilmington, una città del Delaware considerato come il piccolo paradiso fiscale USA. In realtà non ha una sede fisica nel Delaware, ma sfrutta "l'ufficio virtuale" offerto dalla società immobiliare Regus, che appunto appoggia uffici virtuali per conto di aziende straniere che cercano il debutto nel mercato americano.

FaceApp: come funziona
FaceApp sfrutta l'intelligenza artificiale: è l'AI appunto alla base della sua impressionante capacità di modificare i tratti del viso con naturalezza. Per generare questi filtri sono usate reti neurali generative avversarie, che necessitano per funzionare di computer con enorme potere di calcolo. Sicuramente non basta il potere di calcolo di uno smartphone. La domanda sorge spontanea: come può funzionare FaceApp se nessuno degli smartphone né iphone attualmente in commercio ha sufficiente potere di calcolo per farla funzionare? Semplice: quando si elabora un selfie con FaceApp, questo passa dai server dell'azienda. La prova che rende certo questo trasferimento di dati è il fatto che se lo smartphone è in modalità aereo l'app non funziona e sollecita l'utente a connettersi ad Internet.

Il problema privacy
Queste foto, finite sui server di Wireless Lab, restano archiviate per un tempo indefinito, potenzialmente per sempre, dato che la società russa non si preoccupa di dichiarare nelle informative per quanto conserverà i dati. Non solo: non specifica neppure DOVE sono archiviati i dati, limitandosi a dire nella "Privacy Policy" che i dati potranno essere archiviati negli USA, ma anche in qualsiasi altro paese, mentre l'elaborazione degli stessi potrà avvenire ad opera di FaceApp, ma anche dei suoi affiliati (cioè le altre aziende dello stesso gruppo) o dai fornitori del servizio che possiedono le infrastrutture. FaceApp si riserva anche di vendere o trasferire i dati e specifica che "gli affiliati rispetteranno le scelte che fai su chi può vedere le tue foto": il dettaglio che all'utente non venga chiesto di specificare nulla di tutto questo pare secondario per la Wireless Lab.

Insomma, non si specifica né quanto, né dove né da chi saranno archiviati ed elaborati i dati. E c'è un altro problema: al momento dell'installazione, FaceApp non solo non mostra alcuna privacy policy e non richiede alcun consenso, ma richiede permissioni tecniche assolutamente eccessive sul dispositivo, rispetto a quelle di cui necessiterebbe per svolgere le funzioni per la quale è pubblicizzata. Ad esempio Wireless Lab ottiene accesso anche ai file multimediali di Whatsapp, salvando insomma anche foto e informazioni di persone che non hanno l'app. Raccoglie inoltre i dati sulle pagine web generate, i file di log, i dati dei dispositivi da cui l'utente si collega e inserisce i cosidetti web beacon, ovvero immagini di 1x1 pixel per monitorare il comportamento di chi naviga sul web.

Raccoglie perfino i dati di localizzazione e qui il gioco è davvero sporco, dato che non c'è alcun modo di rifiutare questi trattamenti: se si scarica la app e vi si accede, non viene richiesto alcun consenso, dato che questo è dato per scontato.

E il GDPR?
Se i server sono davvero negli Stati Uniti FaceApp dovrebbe ricordarsi di applicare il Privacy Shield, l'accordo tra USA e UE per tutelare i dati dei cittadini europei anche negli USA tramite l'applicazione dei dettami del GDPR. Nessuna informativa di FaceApp va riferimento a questo.

Se invece i dati sono elaborati in UE si applicherebbe il GDPR, in vigore dal 25 maggio 2018, ma Wireless Lab non aggiorna la privacy policy dal 20 Gennaio 2017, cioè da quando è stata messa online. Ma il GDPR si applica anche "a quei trattamenti effettuati da un titolare non stabilito nell’Unione, che pero riguardi l’offerta di beni o servizi agli interessati che si trovano nell’Unione, o che monitori il loro comportamento” (art.3), quindi di fatto FaceApp viola il GDPR.

Dati biometrici e dati dei minori
I dati biometrici sono considerati dati estremamente sensibili, con specifica tutela. Perchè FaceApp sia a norma di legge occorrerebbe che ottenesse dagli utenti un conseso "libero, specifico ed esplicito": ovviamente non c'è traccia di questa richiesta di consenso né viene specificato il tipo o la durata del trattamento, come per tutti gli altri tipi di dati raccolti dall'App.

Per quanto riguarda i dati relativi a minori, il GDPR vieta il trattamento di dati di minori sotto i 16 anni. In Italia il divieto è fino ai 14 anni. FaceApp non chiede però di specificare l'età al momento dell'installazione, quindi sta attualmente raccogliendo in maniera illegale anche i dati di tutti quegli utenti minorenni che hanno accesso all'app.

Tutto questo a quale scopo?
Indubbiamente è in corso una campagna di pubblicizzazione e diffusione capillare di questa app, la cui origine non è nota, ma che sicuramente sfrutta "il passaparola" tra utente ed utente. L'impressione è che Wireless Lab stia costruendo uno dei più grossi e puliti dataset di volti al mondo con procedure del tutto oscure: chiunque abbia bisogno di allenare e affinare l'AI al riconoscimento facciale, si sta scontrando in questi anni proprio nel problema di costruire dataset di volti sufficientemente ampi e strutturati.