il caso

“Alexa, chi è l’assassino?”: anche in Italia gli smart speaker potrebbero essere testimoni

In un caso di femminicidio, gli inquirenti Usa hanno chiamato a testimoniare Alexa, lo smart assistant prodotto da Amazon. Le autorità americane sperano che le intercettazioni del dispositivo aiutino a ricostruire la vicenda. Un’ipotesi del genere sarebbe possibile anche in Italia?

Pubblicato il 22 Nov 2019

Victoria Parise

Avvocato giuslavorista in Firenze, DPO e Consigliere ASSODATA, Partner dello studio The Legal Match

Lorenzo Pierini

Laureato in giurisprudenza

alexa

Alexa, l’assistente vocale di Amazon, sale sul banco dei testimoni in processi per omicidio negli Usa. Le domande più importanti da porsi sono: qual è in questo caso la base giuridica che giustifica il trattamento della trascrizione e, ancora, Alexa potrebbe essere chiamata a testimoniare in Italia?

Alexa, chi è l’assassino?

Ma partiamo col caso in questione. Il primo esempio è del novembre 2015 in Arkansas, quando James Bates è stato accusato dell’omicidio di primo grado di Victor Collins trovato nella sua vasca idromassaggio. La polizia ha sequestrato Echo abilitato ad Alexa dalla scena del crimine come prova. Un altro caso è stato un doppio omicidio a Farmington, in cui due donne, Christine Sullivan e Jenna Pellegrini sono state accoltellate da Timothy Verrill nel 2017. Il giudice del New Hampshire ha ordinato ad Amazon di fornire registrazioni dal dispositivo.

La ratio è sempre la stessa: secondo gli inquirenti, gli inquilini potrebbero avere attivato inavvertitamente Alexa (pronunciato le wake up words), che quindi potrebbe aver registrato voci e rumori significativi; file audio che sono poi archiviate sulla cloud di Amazon. 

L’ultimo caso è di qualche giorno fa. Il dipartimento di polizia di Harrandale Beach, FL, che sta investigando sulla morte di Sylvia Galva Crespo, 32 anni, trafitta da un’oggetto contundente e trovata senza vita ai piedi del letto della propria camera, ha chiesto e ottenuto dal colosso dell’e-commerce le registrazioni raccolte dal dispositivo Amazon Echo[1] presente nella camera della vittima.

Gli investigatori sperano in questo modo di riscontrare gli elementi probatori necessari per “incastrare” il marito, Adam Reechard Crespo, 43 anni, che ha per adesso riferito che si è trattato di un incidente. Malgrado la possibilità che il dispositivo non fosse in fase di ascolto, gli inquirenti sperano che la “finestra audio” – successiva alla pronuncia della parola magica “Alexa”[2] – sia sufficientemente ampia, in modo da offrire un quadro dell’accaduto. Le autorità confidano anche nel fatto che ben pochi utenti sono a conoscenza della possibilità di cancellare le registrazioni vocali del dispositivo, un’operazione che comunque ad oggi presenta zone d’ombra.

La misteriosa sorte delle registrazioni cancellate

A proposito dei tempi e modi di conservazione e cancellazione delle registrazioni Amazon aveva inizialmente ammesso di conservare trascrizioni testuali delle registrazioni realizzate, anche in seguito alla loro cancellazione da parte dell’utente attirando così l’attenzione delle associazioni di consumatori americani.

Il comando “elimina”non è mai veramente ‘elimina'” ha affermato Theresa Payton, ex capo delle informazioni della Casa Bianca e fondatrice della società di sicurezza informatica Fortalice. Nel caso di Alexa “Eliminare significa solo che non puoi più vederlo” ha più volte ribadito la Payton.[3]

Un gruppo di 19 sostenitori della salute pubblica e dei consumatori americani ha presentato una denuncia alla Federal Trade Commission sostenendo che Amazon Echo Dot Kids Edition stava conservando i dati dei bambini anche dopo che i genitori avevano cancellato le registrazioni vocali. I dati memorizzati nella funzione “Ricorda” di Alexa non sono stati eliminati fino a quando i genitori hanno chiamato il servizio clienti per eliminare l’intero profilo.

Più di recente quindi la società di Jeff Bezos, con una lettera a firma di Brian Huseman, Vice-Presidente per la Public Policy (qui il testo), in risposta all’interrogazione promossa dal senatore democratico Chris Coons, ha aggiustato il tiro e precisando che nel caso di cancellazione della registrazione vocale, operata dal cliente, vengono “eliminate” dal sistema anche le trascrizioni (delle conversazioni) associate al suo account. “Eliminiamo quelle trascrizioni da tutti i sistemi di archiviazione primaria e ci impegniamo costantemente per garantire che tali trascrizioni non rimangano in Alexa o altri sistemi di archiviazione. Tuttavia, possiamo ancora conservare altri registri delle interazioni con i clienti di Alexa, inclusi i registri delle azioni intraprese da Alexa in risposta alle richiesta del cliente. E quando un cliente interagisce con un’abilità Alexa, anche quello sviluppatore di abilità può conservare registrazioni dell’interazione. Ad esempio quando un cliente si abbona ad Amazon Music Unlimited, effettua un ordine Amazon Fresh, richiede un’auto from Uber o Lyft, ordina una pizza Amazon e/o lo sviluppatore conservano i dati.”

Viene spontaneo chiedersi: qual è in questo caso la base giuridica che giustifica il trattamento della trascrizione?

Il principio di trasparenza, questo sconosciuto

Questo singolare cambio di posizione della società conferma i numerosi profili di criticità in materia di privacy non solo del prodotto Alexa ma di tutti gli assistenti virtuali attualmente in commercio.

Mettendosi nei panni di un utente, l’informativa sulla privacy – ad esempio fornita dalla compagnia di Seattle da cui prende spunto questo articolo – senza dubbio si caratterizza per l’assoluta genericità delle indicazioni fornite (si parla di “Esempi di dati che raccogliamo”, o di “situazioni in cui l’utente potrebbe fornire dati”). La struttura economica e organizzativa del colosso aggrava la sua posizione per la carenza dell’ informativa nei confronti dell’utente.

L’art. 13 Regolamento GDPR, n. 2016/679, afferma infatti che “In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni: (…) c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento” (del tutto assenti nell’informativa citata), e altresì obbliga il Titolare, una volta ottenuti i dati, a fornire all’interessato le informazioni ex lett. a) comma 2 del medesimo articolo 13 del GDPR, riguardanti il periodo di conservazione dei dati personali (o i criteri utilizzati per determinare tale periodo) e ex lett. b) l’esistenza di un diritto dell’interessato alla cancellazione dei dati, specialmente quando conferiti sulla base del consenso.

Il mancato rispetto di tale indicazione comporta la violazione del principio di trasparenza ex art. 5, par. 1, lett. a (richiamato al 2 co. dell’art. 13), vista l’assenza di determinatezza delle finalità per le quali i dati vengono raccolti, per la quale è prevista ‘applicazioni del gruppo di sanzioni più elevato.

Nemmeno la base giuridica sembra essere individuata in modo chiaro e lo stesso, va da sé, il tempo di conservazione (“Conserviamo i tuoi dati personali per consentirti di utilizzare in modo continuativo i Servizi Amazon per tutto il tempo necessario per perseguire le finalità descritte nella presente Informativa sulla privacy, come richiesto dalla legge ad esempio a fini fiscali e contabili o come altrimenti a te comunicato. Ad esempio, conserviamo la cronologia delle transazioni in modo che tu possa esaminare gli acquisti effettuati (e ripetere gli ordini se lo desideri) e a quali indirizzi hai chiesto che venissero spediti gli ordini, nonché per migliorare l’adeguatezza dei prodotti e dei contenuti che consigliamo”.

Tanto premesso, i trattamenti appaiono non del tutto legittimi (ulteriori rispetto alle finalità del servizio e/o basati su consenso non del tutto informato), suscettibili di essere sanzionati dalle Autorità garanti e/o essere oggetto di rivendicazione da parte degli interessati, ma le società sembrano voler continuare ad agire non curanti della riservatezza degli utenti. E in questo caso le informazioni così raccolte o conservate potrebbero essere utilizzabili per altri scopi dall’Autorità giudiziaria?

Alexa potrebbe essere chiamata a testimoniare in Italia?

Il caso appare singolare e va letto alla luce di alcune recenti pronunce giurisprudenziali e norme di legge, brevemente nel processo penale:

Cass. pen. Sez. V Sent., 11/02/2019, n. 13810 (rv. 275237-01) afferma che In tema di prove, la registrazione fonografica di conversazioni o comunicazioni realizzata, anche clandestinamente, da chi vi abbia partecipato o sia stato comunque autorizzato ad assistervi non è riconducibile alla nozione di intercettazione ma costituisce prova documentale, a condizione che l’autore abbia effettivamente e continuativamente partecipato o assistito alla conversazione registrata.

Cass. pen. Sez. VI Sent., 05/10/2017, n. 53375 (rv. 271656): la registrazione di colloqui tra gli indagati effettuata dalla polizia giudiziaria mediante l’impiego di un telefono cellulare non costituisce una intercettazione ambientale, ma una forma di memorizzazione su supporto informatico di un fatto storico direttamente percepito dal teste, utilizzabile in dibattimento come documento a supporto della memoria degli operanti.

Inoltre l’art. 266 c.p.p. “Limiti di ammissibilità dispone che l’intercettazione di conversazioni o comunicazioni telefoniche [c.p.p. 295] e di altre forme di telecomunicazione è consentita nei procedimenti relativi ai seguenti reati [Cost. 15; c.p.p. 103]”:

a) delitti non colposi per i quali è prevista la pena dell’ergastolo o della reclusione superiore nel massimo a cinque anni; b) delitti contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni; c) delitti concernenti sostanze stupefacenti o psicotrope; d) delitti concernenti le armi e le sostanze esplosive; e) delitti di contrabbando; f) reati di ingiuria, minaccia, usura, abusiva attività finanziaria, abuso di informazioni privilegiate, manipolazione del mercato, molestia o disturbo alle persone col mezzo del telefono; f-bis) delitti previsti dall’articolo 600-ter, terzo comma, del codice penale, anche se relativi al materiale pornografico di cui all’articolo 600-quater.1 del medesimo codice, nonché dall’art. 609-undecies e altri.

Negli stessi casi è consentita l’intercettazione di comunicazioni tra presenti, che può essere eseguita anche mediante l’inserimento di un captatore informatico su un dispositivo elettronico portatile. Tuttavia, qualora queste avvengano nei luoghi indicati dall’articolo 614 del codice penale, l’intercettazione è consentita solo se vi è fondato motivo di ritenere che ivi si stia svolgendo l’attività criminosa. L’intercettazione di comunicazioni tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile è sempre consentita nei procedimenti per i delitti di cui all’articolo 51, commi 3-bis e 3-quater, e per i delitti dei pubblici ufficiali contro la pubblica amministrazione puniti con la pena della reclusione non inferiore nel massimo a cinque anni, determinata ai sensi dell’articolo 4.

In particolare, la Corte di Cassazione distingue nettamente tra registrazione privata a) compiuta da un soggetto; b) di propria iniziativa; c) senza necessità di alcuna autorizzazione; e intercettazione, a) strumento di indagine riservato all’Autorità Giudiziaria; b) in presenza dei reati descritti; c) nel rispetto delle modalità descritte dalla legge.

Cass. Pen. Sez. II, 20/03/2015, n. 19158: La registrazione della conversazione effettuata da uno degli interlocutori all’insaputa dell’altro non è classificabile come intercettazione, ma rappresenta una modalità di documentazione dei contenuti della conversazione, già nella disponibilità di chi effettua la “documentazione” e potenzialmente riversabili nel processo attraverso la testimonianza.

La registrazione vocale, infatti, rappresenta una “forma di memorizzazione fonica” che l’autore può adoperare nel processo penale a titolo di prova documentale, ai sensi dell’art. 234 c.p.p., secondo cui “È consentita l’acquisizione di scritti o di altri documenti che rappresentano fatti, persone o cose mediante la fotografia, la cinematografia, la fonografia o qualsiasi altro mezzo”, salvi i divieti di divulgazione sul contenuto della comunicazione connessi al suo oggetto o alla persona registrata.

Potrebbe dunque astrattamente esistere una possibilità di far accedere al processo penale le registrazioni o meglio le trascrizioni degli smart speaker, nei limiti del potere di indagine e dei mezzi di prova ammessi. Il vero interrogativo è se tali trascrizioni siano attendibili quanto un brogliaccio della polizia giudiziaria, questo sarà la giurisprudenza a doverlo stabilire.

E il processo Civile?

Nel processo civile, le registrazioni vocali rientrano nella categoria delle cosiddette “prove meccaniche” e sono assoggettate alla disciplina dell’art. 2712 c.c. Tali registrazioni formano “piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime”.

In particolare, per disconoscere il contenuto della conversazione registrata, la giurisprudenza ritiene insufficiente una semplice contestazione.

Cass. civ. Sez. III, 22/04/2010, n. 9526: “Il disconoscimento delle riproduzioni meccaniche di cui all’art. 2712 c.c., che fa perdere alle stesse la loro qualità di prova, pur non essendo soggetto ai limiti e alle modalità di cui all’art. 214 c.p.c., deve, tuttavia, essere chiaro, circostanziato ed esplicito (dovendo concretizzarsi nell’allegazione di elementi attestanti la non corrispondenza tra realtà fattuale e realtà riprodotta)” e tempestivo.

Inoltre si deve ricordare che “La registrazione può costituire fonte di prova (…) sempre che almeno uno dei soggetti, tra cui la conversazione si svolge, sia parte in causa” (Cass. civ. Sez. VI, 01/03/2017, n. 5259).

Da ultimo con la sentenza n. 11322 del 10.05.2018, la Cassazione afferma che la registrazione di conversazioni effettuate sul posto di lavoro da parte di un dipendente all’insaputa dei colleghi, non costituisce condotta suscettibile di sanzione disciplinare, se il lavoratore ha posto in essere tale comportamento per esigenze di tutela dei propri diritti.

La registrazione fonografica di un colloquio ad opera di un soggetto che ne sia partecipe, presuppone di norma il consenso anche delle altre persone coinvolte.

Tuttavia, afferma la sentenza, è possibile prescindere dal consenso degli interessati nel caso in cui la raccolta dei dati intervenga per far valere o difendere un diritto in sede giudiziaria o extra-giudiziaria.

Unico limite posto in tali situazioni, concludono i Giudici di legittimità, è che i dati medesimi siano trattati solo per le suddette finalità e per il periodo strettamente necessario per il loro perseguimento.

Applicando il citato principio al caso di specie, la Suprema Corte ha accolto il ricorso proposto dal lavoratore, riconoscendo il suo diritto alla reintegrazione, ex art. 18, comma 4, l. 300/1970 (nella versione post riforma Fornero), stante l’assenza di illiceità nel fatto contestatogli, avendo il medesimo agito per documentare una situazione conflittuale nel luogo di lavoro, in un’ottica di salvaguardia del proprio diritto alla conservazione del posto.

Alexa, si può affermare, ha utilità del tutto inaspettate, gli utenti potrebbero richiedere ad Amazon copia delle trascrizioni per l’esercizio di propri diritti; i familiari o conviventi di chi abbia acquistato Alexa potrebbero lamentare di non aver acconsentito ad alcun trattamento delle loro informazioni personali (i soggetti tramite le trascrizioni diventerebbero identificabile ai sensi dell’art 4 del GDPR) e oltre a rivalersi sulla società potrebbero denunciare il convivente per intercettazioni illecite e molto altro.

Cosa sappiamo veramente delle attività degli assistenti smart e come difenderci?

Nel panorama di servizi smart, privo di regole come qualsiasi nuovo mondo, queste le 5 regole d’oro:

  • leggere attentamente la Privacy Policy o informativa sulla Privacy dell’azienda produttrice e cercare di comprendere effettivamente da chi e come saranno trattati i dati personali che saranno raccolti durante l’utilizzo del dispositivo. E tramite la valutazione di questo aspetto comparare i vari prodotti preferendo quello che più offre garanzie privacy.
  • scegliere dispositivi che non siano sempre accessi o che possano essere accesi tramite comando vocale in modo da scongiurare attacchi da remoto e registrazioni non desiderate o richieste. Questo aspetto rimane per ora uno dei più critici.
  • munire la rete internet, di casa e del proprio studio/ufficio, di misure di sicurezza che riducano al massimo la possibilità e il rischio di intrusioni informatiche: per esempio attraverso firewall fisici e virtuali in ingresso alla rete domestica, wifi, etc. Ci sono sul mercato anche firewall cloud intelligenti che prevedono i rischi per tutti i dispositivi dell’utente.
  • agire in modo consapevole nell’utilizzo di questi dispositivi informando anche gli altri componenti conviventi della famiglia di cosa significa avvalersi di tale nuova tecnologia e che questa interagisce anche con altri elettrodomestici raccogliendo dati relativi alle nostre abitudini (periodi di assenza da casa, abitudini alimentari, di intrattenimento come la tv, di consumi, etc.).
  • restare informati, anche navigando su internet o rivolgendosi a associazioni a tutela dei consumatori o professionisti qualificati (seconda delle esigenze), che possano aiutarvi nel comprendere e esercitare i Vostri diritti in materia di privacy e libertà personale.

Le nuove tecnologie offrono innumerevoli vantaggi ma ad oggi moltissime possibili insidie per i diritti e libertà di tutti noi che solo l’informazione e la consapevolezza possono ridurre in modo significativo.


Note

  1. Si precisa che vengono registrate fisicamente dall’auto-parlante, munito di microfono, le richieste di attività dell’utente e poi dal software che le ha ricevute per la gestione e realizzazione delle attività. Alcuni di questi assistenti conservano memoria delle attività e le utilizzano per ulteriori finalità (esempio: migliorare il servizio, registrare abitudini degli utenti per comprendere esigenze e cercare di acquisire nuove fette di mercato, etc). Alcuni smart speaker funzionano solo previa accensione manuale altri invece si attivano direttamente con comando vocale restando di fatto sempre accesi per poterlo captare. I vari software utilizzano sistemi diversi e per questo offrono servizi diversi.La differenza tra Amazon Alexa (con cui dialoga ad esempio Amazon Echo) e Google Assistant (con cui dialogano Google Home, Google Home Mini, etc.) sta nei servizi offerti rispetto all’ecosistema domestico, ossia nella possibilità di dialogare efficientemente con altri dispositivi, piattaforme e brand supportati e compatibili dal software. Durante la fase d’acquisto, quindi, è fondamentale che il cliente possa comprenderne l’effettivo funzionamento non solo al fine di poter far dialogare l’assistente virtuale con gli altri elettrodomestici ma anche poter capire – in ossequio al principio di trasparenza – come verranno utilizzate le informazioni raccolte anche dagli altri dispositivi.
  2. Alcuni smart speaker infatti funzionano solo previa accensione manuale altri invece si attivano direttamente con comando vocale restando di fatto sempre accesi per poterlo captare.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati