App di food delivery, come trattano i nostri dati personali

ROMA -  L’Autorità Garante per la privacy ha aperto un’istruttoria per il trattamento dei dati personali da parte delle app di food delivery. Il 19 giugno scorso è toccato a Deliveroo, ma anche le concorrenti, come Just eat, Glovo e Uber eats, gestiscono molti dati personali dei clienti iscritti.

Per iscriversi alle app che portano il cibo a domicilio servono nome, cognome, indirizzo di casa, numero di telefono, email e carta di credito per completare la registrazione e farsi recapitare la cena a casa. Ogni transazione rivela abitudini, gusti e tendenze di consumo dei clienti. In aggiunta ci sono le informazioni dei fattorini, come per esempio i percorsi compiuti per arrivare a destinazione. Si tratta di un bottino ghiotto per altri operatori, ma anche, nel peggiore dei casi, per gruppi criminali informatici.

Occorre inoltre fornire un indirizzo mail. Ma solo Uber invia un messaggio di conferma alla casella di posta per verificare che l’utente sia il legittimo proprietario di quell’indirizzo di posta elettronica. Just eat, ad esempio, non lo fa, per cercare di rendere il processo di iscrizione il più veloce possibile.

E se decidiamo di effettuare un ordine da un altro dispositivo che non è quello solito che usiamo? In questi casi, le buone pratiche di sicurezza suggeriscono di mandare un’allerta all’utente per verificare l’identità. Solo Uber eats e Glovo, secondo le verifiche effettuate da Wired, seguono questa procedura. Se qualcuno, insomma, prova a usare il nostro account su un altro dispositivo, non si viene informati del tentativo, con tutti i rischi del caso.

"Licenze" non corrette

Una app che serve per ordinare cibo a domicilio non dovrebbe avere accesso alla rubrica del telefono. Sempre secondo Wired, le piattaforme si prendono invece più licenze del dovuto sugli smartphone dei clienti. Queste procedure aprono ipoteticamente la possibilità all’utilizzo dei dati anche per il marketing diretto: è sufficiente un’autorizzazione, infilata tra le tante in fase di sottoscrizione, e cominciano ad arrivare promozioni e sconti. Insieme alla pizza.

“Spesso richiedono funzionalità che non sono necessarie”, osserva Giampaolo Dedola, ricercatore del gruppo di sicurezza Kaspersky. “Gli utenti che vogliono limitare i privilegi devono disabilitarle da soli”, aggiunge. Per esempio, Deliveroo, Glovo e Uber eats chiedono il permesso per la fotocamera, per la scansione della carta di credito”.

“L’app di Glovo è stata progetta per richiedere quattro permessi: videocamera, contatti, posizione e storage. Se poi i permessi sono richiesti tutti insieme oppure solo al momento in cui l’utente compie determinate azioni, questo lo decide l’app”. Può essere, aggiunge l’esperto, “che l’app decida di non richiedere mai un certo tipo di permesso. Se questo è davvero il caso però viene da domandarsi come mai il permesso o i permessi in questione siano fra quelli potenzialmente richiesti dall’app”.