WhatsApp sotto la lente del Garante per la Privacy. Nel mirino l’utilizzo che il servizio di messaggistica fa dei dati personali raccolti e “schedati” da WhatsApp nelle rubriche telefoniche dei contatti personali degli utenti che vogliono utilizzare l’applicazione. Il Garante di casa nostra ha chiesto chiarimenti alla società californiana che fornisce WhatsApp sulla scia di analoghe richieste di informazioni già avanzate dai garanti privacy in Canada e Olanda, che hanno recentemente pubblicato un report, secondo cui l’applicazione potrebbe comportare rischi specifici per la protezione dei dati personali degli utenti. Nel rapporto sono state inoltre ipotizzate possibili criticità nelle misure di sicurezza adottate, in particolare riguardo alla conservazione dei dati trattati e al loro accesso da parte di terzi non autorizzati.
L’Autorità ha inoltre chiesto di sapere per quanto tempo vengono conservati i dati degli utenti e il numero degli account riferibili a quelli italiani.
I clienti di WhatsApp, per poter usufruire del servizio di messaggistica, devono consentire che l’applicazione acceda alla rubrica dei contatti presente sul proprio smartphone o sul proprio tablet e cioè a dati personali di soggetti terzi. “L’accesso ai dati della rubrica personale, però, è consentita anche per quanto riguarda coloro che non hanno scaricato l’applicazione e non utilizzano quindi il servizio”, sottolinea il Garante.
Il Garante ha dunque scritto a WhatsApp Inc. chiedendo di chiarire in particolare quali tipi di dati personali degli utenti vengono raccolti e usati al momento dell’iscrizione e nel corso dell’erogazione dei servizi di messaggistica e condivisione file; come vengono conservati e protetti questi dati; le misure adottate (es. cifratura, generazione di credenziali etc.) per limitare il rischio di accesso da parte di soggetti diversi dagli interessati e, in particolare, se siano stati previsti sistemi contro gli attacchi tipo “man in the middle”, volti ad acquisire illecitamente il contenuto dei messaggi scambiati mediante l’applicazione.
“Man in the middle” è un tipo di attacco nel quale l’attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti senza che nessuna delle due sia in grado di sapere se il collegamento che li unisce reciprocamente sia stato effettivamente compromesso da una terza parte, ovvero appunto un attaccante. L’attaccante deve essere in grado di osservare, intercettare e replicare verso la destinazione prestabilita il transito dei messaggi tra le due vittime.
