Enrico Pascatti : 20 Ottobre 2025 07:33
Nel gennaio 2025, il data breach di Gravy Analytics ha squarciato il velo su un ecosistema di sorveglianza commerciale che molti preferivano ignorare: milioni di coordinate GPS, estratte da app popolari come Candy Crush, Tinder e MyFitnessPal, sono finite online rivelando percorsi verso ospedali, basi militari, luoghi di culto e abitazioni private.
Ma il vero scandalo non è stato il leak: è che quei dati venivano già venduti legalmente a enti governativi statunitensi che li usavano per sorveglianza senza controllo giudiziario.
Ogni volta che apriamo un’app apparentemente innocua, si attiva una catena invisibile ma precisa. Le SDK pubblicitarie integrate dagli sviluppatori richiedono permessi di geolocalizzazione, ovviamente sia su iOS che Android. Questi permessi non servono solo a mostrare annunci geolocalizzati: alimentano un’intera industria costruita sulla raccolta, aggregazione e rivendita della posizione.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il meccanismo più pervasivo è il Real-Time Bidding (RTB), lo standard che governa le aste pubblicitarie in tempo reale. Quando un’app carica uno spazio pubblicitario, viene generata una bid request secondo lo standard OpenRTB. Questa richiesta contiene latitudine e longitudine precise, l’Advertising ID del dispositivo (GAID/IDFA), la precisione GPS, timestamp, IP e tipo di connessione. Questa bid request viene trasmessa in pochi millisecondi a decine di intermediari che possono archiviare, arricchire e rivendere quei dati.
Il risultato è un grafo di mobilità quasi univoco per ogni individuo.Un paper del MIT ha dimostrato che bastano quattro punti spazio-temporali per identificare univocamente il 95% delle persone. Non serve nemmeno il nome: le coordinate notturne rivelano dove abitiamo, quelle diurne dove lavoriamo, e l’incrocio con registri pubblici o LinkedIn completa il puzzle.
L’industria risponde con una parola magica: anonimizzazione. Ma la storia è piena di fallimenti. Nel 2006, Netflix ha pubblicato un dataset “anonimo” di rating: sono bastate poche recensioni su IMDb per re-identificare utenti reali. Nel 2013, Latanya Sweeney ha invece identificato il governatore del Massachusetts in un database medico usando solo CAP, data di nascita e genere.
Nel mondo del geospaziale, l’anonimizzazione è ancora più fragile. Arrotondare coordinate, aggiungere jitter casuale o pseudonimizzare l’ID sono difese cosmetiche che si sbriciolano davanti a dataset grandi e incroci con altre fonti. Per una vera anonimizzazione servirebbero aggregazione spaziale tramite H3/S2, temporal bucketing, Differential Privacy con epsilon documentato e k-anonimity con soppressione degli outlier. Ma queste tecniche riducono il valore commerciale dei dati, ed è per questo che l’industria preferisce l’illusione alla sostanza.
L’azienda Gravy Analytics raccoglieva coordinate GPS attraverso il bidstream pubblicitario da centinaia di app, utilizzando Google AdSense come vettore e spesso estraendo i dati all’insaputa degli stessi sviluppatori. Ma attraverso la controllata Venntel riforniva anche agenzie governative come (l’ormai famigerata) ICE e CBP. Qui emerge il cortocircuito normativo: la Costituzione americana tutela dalla sorveglianza senza mandato, ma non vieta al governo di acquistare da terze parti informazioni che non potrebbe ottenere direttamente.
La Federal Trade Commission aveva già sanzionato Gravy a dicembre 2024 – non per la raccolta, ma per la vendita senza consenso da parte degli utenti. Distinzione sottile che lasciava intatto il problema di fondo: la legalità formale non coincide con la legittimità sostanziale. Quando a gennaio 2025 oltre 30 milioni di coordinate sono finite online, la realtà è esplosa: traiettorie verso cliniche, moschee, basi militari, abitazioni di figure pubbliche. Tutto tracciabile, tutto identificabile.
Tobias Judin della Norwegian Data Protection Authority ha sintetizzato: “Può essere usato per influenzare, manipolare, ricattare.” Non è paranoia: è threat modeling applicato a dati personali per definizione e sensibili per inferenza.
I dati spaziali non sono più mappe statiche. Sono un flusso continuo di intelligence: satelliti, droni, 5G, IoT e smartphone generano miliardi di coordinate al secondo. Sopra questo layer operano algoritmi AI che applicano clustering, map-matching e ranking dei POI per dedurre dove viviamo, chi frequentiamo, quali percorsi scegliamo. La stessa tecnologia che ottimizza il traffico può prevedere dove saremo tra un’ora.
In Italia, la Direttiva INSPIRE e il RNDT hanno creato un’infrastruttura nazionale di dati territoriali. Obiettivo nobile, ma senza governance forte (DPIA, minimizzazione, audit) la trasparenza rischia di diventare sorveglianza.
E quindi anche in Italia i casi si moltiplicano.
Un dipendente di Coop Alleanza 3.0 fu licenziato perché, secondo i dati del GPS sull’auto aziendale, non avrebbe utilizzato il permesso previsto dalla legge 104 per assistere la madre.
L’Agenzia Regionale per lo Sviluppo dell’Agricoltura Calabrese è stata multata (50.000 €) dal Garante Privacy per aver richiesto ai dipendenti in modalità agile di timbrare via app con geolocalizzazione e dichiarare la propria posizione via email, senza idonea trasparenza né base legittima.
Il Garante ha anche sanzionato un’azienda che usava sistemi GPS sui veicoli aziendali per controllare circa 50 dipendenti, ritenuto un controllo a distanza illecito.
Il pattern è chiaro, in quanto anche tecniche legittime e ben accettate possono diventare illecite a seconda dell’uso. Il GDPR richiede base giuridica valida, minimizzazione dei dati e DPIA obbligatoria per trattamenti su larga scala. Ma manca ancora cultura di privacyby design: e allora vediamo proliferare geolocalizzazione attiva per default, log mai cancellati, scopi che si allargano silenziosamente, controlli di accesso insufficienti.
La catena dei dati ha numerosi punti di rottura: SDK con permessi “Always”, bidstream multi-tenant, bucket cloud mal configurati, export “temporanei” che diventano permanenti, dashboard con drill-down troppo fine. Le difese dovrebbero essere architetturali, come ad esempio aggregazione in celle H3/S2, Differential Privacy on-by-default, governance SDK rigida, cifratura at-rest, tokenizzazione, IAM per privilegio minimo, geo opt-in only nel bidstream, DPIA sistematiche, retention corta e automatizzata.
Alcuni consigli per noi utenti:
Ed esercitare i diritti GDPR tramite accesso, opposizione, cancellazione, e segnalazioni al Garante.
I Big Data territoriali sono il gemello digitale del mondo fisico. La lezione del caso Gravy non è “più disclaimer”, ma richiede di riprogettare pipeline, permessi e business model: meno bidstream aperto, più edge e aggregazione; meno “precise by default”, più accountability verificabile.
Ogni coordinata è un dato personale, spesso sensibile per inferenza. È una questione di libertà: visitare un luogo senza essere osservati, muoverci senza essere profilati, sapere chi ci traccia e perché. E dire no, con effetti tecnici reali.
Enrico PascattiUn’importante interruzione dei servizi cloud di Amazon Web Services (AWS) ha causato problemi di connessione diffusi in tutto il mondo, coinvolgendo piattaforme di grande rilievo come Snapchat, Fort...
L’azienda cinese “Unitree Robotics” ha sfidato il primato della robotica statunitense con il lancio del suo umanoide H2 “Destiny Awakening”. L’umanoide unisce la forma umana a movimenti so...
Il 20 ottobre 2025 segna un anniversario importante per la storia dell’informatica: il processore Intel 80386, noto anche come i386, celebra il suo 40° compleanno. Ed è un compleanno importante! L...
A prima vista, l’email sembrava impeccabile. Un promemoria di pagamento di PagoPA, ben strutturato, con linguaggio formale, riferimenti al Codice della Strada e persino un bottone blu “Accedi al P...
I ricercatori di VUSec hanno presentato un articolo intitolato “Training Solo”, che mette in discussione i principi fondamentali della protezione contro gli attacchi Spectre-v2. In precedenza si r...
