- Il caso Persona: cosa è emerso
- 269 controlli e riconoscimento facciale: come funziona l'app
- Chi usa Persona e perché la questione ci riguarda
- La risposta del CEO e i dubbi degli esperti
- Il nodo della normativa europea
- Domande frequenti
Il caso Persona: cosa è emerso
Sono 2.456 i record contenenti dati sensibili riconducibili alla piattaforma di verifica dell'identità Persona che risultavano accessibili online. A portare alla luce l'esposizione è stata un'analisi condotta dai ricercatori di Malwarebytes Labs, laboratorio specializzato in cybersicurezza, che ha ricostruito nel dettaglio la tipologia e la profondità delle informazioni raccolte dal sistema.
Non si tratta di un data breach nel senso classico del termine — nessun hacker ha forzato un server, almeno stando a quanto emerge dalle prime ricostruzioni. Il problema è più sottile e, per certi versi, più inquietante: una mole significativa di dati sensibili online, tra cui elementi biometrici legati al riconoscimento facciale, era raggiungibile senza le barriere di protezione che ci si aspetterebbe da un'infrastruttura di questa portata.
269 controlli e riconoscimento facciale: come funziona l'app
Per capire la gravità della situazione, occorre comprendere cosa fa davvero Persona. L'app non si limita a chiedere un selfie. Esegue 269 controlli distinti durante il processo di verifica dell'identità di un utente. Un numero che dà la misura della quantità di dati estratti in ogni singola sessione.
Tra le operazioni svolte:
- Riconoscimento facciale tramite intelligenza artificiale
- Analisi dei documenti d'identità con verifica incrociata
- Controlli su database pubblici e registri
- Valutazione di coerenza tra il volto dell'utente e la foto sul documento
- Profilazione del rischio associato all'identità verificata
In sostanza, chi si sottopone alla verifica consegna a Persona un pacchetto informativo estremamente dettagliato. Dati biometrici, numeri di documenti, fotografie ad alta risoluzione. Tutto materiale che, nelle mani sbagliate, rappresenta un rischio concreto di violazione dei dati personali su larga scala.
L'indagine di Malwarebytes Labs ha evidenziato come parte di queste informazioni fosse catalogata e consultabile, sollevando interrogativi seri sulla sicurezza dei dati sensibili gestiti dall'app e sulla robustezza delle misure di cifratura e segregazione adottate.
Chi usa Persona e perché la questione ci riguarda
Persona non è un'applicazione di nicchia. Tra i suoi clienti figurano nomi come LinkedIn e Roblox — piattaforme con centinaia di milioni di utenti attivi a livello globale, moltissimi dei quali europei e italiani. Questo significa che chiunque abbia completato una procedura di verifica dell'identità su uno di questi servizi potrebbe aver affidato i propri dati biometrici proprio a Persona, magari senza nemmeno rendersene conto.
È il paradosso delle infrastrutture invisibili: l'utente interagisce con LinkedIn, ma il trattamento dei dati più delicati avviene su un layer tecnologico terzo. La privacy del riconoscimento facciale finisce per dipendere da un soggetto di cui la maggior parte delle persone ignora l'esistenza.
Nel caso di Roblox, poi, la questione assume un profilo ancora più delicato. La piattaforma è frequentata prevalentemente da minori, categoria per la quale il GDPR e il regolamento europeo sull'intelligenza artificiale prevedono tutele rafforzate. Se dati biometrici di minorenni fossero finiti tra quei 2.456 record esposti, le implicazioni legali sarebbero enormi.
La risposta del CEO e i dubbi degli esperti
Rick Song, CEO di Persona, ha risposto alle critiche con una dichiarazione netta: "Nessun dato personale viene utilizzato per addestrare i nostri modelli di intelligenza artificiale". Una rassicurazione che punta a disinnescare una delle preoccupazioni più sentite nell'opinione pubblica, ovvero che le immagini facciali degli utenti possano alimentare sistemi di IA proprietari o di terze parti.
Ma gli esperti di sicurezza interpellati nelle ore successive alla pubblicazione dell'indagine di Malwarebytes non si sono mostrati altrettanto tranquilli. Il punto, come sottolineato da diversi analisti, non riguarda solo l'eventuale uso dei dati per il riconoscimento facciale tramite intelligenza artificiale. Riguarda il fatto stesso che quei dati fossero accessibili.
"Puoi anche non usare i dati per l'IA, ma se li esponi pubblicamente il danno è già fatto", ha commentato un ricercatore del settore. Una frase che sintetizza bene il cortocircuito: la promessa di non sfruttare commercialmente le informazioni biometriche non elimina il problema della loro protezione.
Resta poi aperto un interrogativo: se Malwarebytes Labs è riuscita a individuare e leggere quei record, chi altro potrebbe averlo fatto prima, senza lasciare tracce?
Il nodo della normativa europea
Per gli utenti italiani e europei, il quadro normativo di riferimento è chiaro. Il GDPR (Regolamento UE 2016/679) classifica i dati biometrici come "categorie particolari di dati personali", il cui trattamento è soggetto a condizioni estremamente restrittive. L'articolo 9 vieta in linea di principio il trattamento di tali dati, ammettendolo solo in presenza di specifiche basi giuridiche, tra cui il consenso esplicito dell'interessato.
A questo si aggiunge l'AI Act europeo, il regolamento sull'intelligenza artificiale entrato progressivamente in vigore, che pone limiti stringenti all'uso del riconoscimento facciale e dei sistemi biometrici, classificandoli tra le applicazioni ad alto rischio.
Se l'esposizione dei dati di Persona dovesse aver coinvolto cittadini europei — ipotesi più che probabile, considerato l'utilizzo della piattaforma da parte di LinkedIn — le autorità garanti della privacy dei singoli Stati membri potrebbero aprire istruttorie. Il Garante per la protezione dei dati personali italiano, che in passato ha già sanzionato pesantemente sistemi di riconoscimento facciale come Clearview AI, potrebbe trovarsi di fronte a un nuovo caso significativo.
La questione, insomma, è tutt'altro che chiusa. E mentre il dibattito sulla privacy delle app di verifica identità si intensifica, milioni di utenti continuano a completare verifiche biometriche ogni giorno, spesso con un semplice tap sullo schermo del telefono, senza sapere davvero dove finiscano i loro volti.
Domande frequenti
Cos'è l'app Persona e a cosa serve?
Persona è una piattaforma di verifica dell'identità digitale utilizzata da aziende come LinkedIn e Roblox. Attraverso 269 controlli, tra cui il riconoscimento facciale, verifica che l'utente sia effettivamente chi dichiara di essere. Viene impiegata per prevenire frodi, rispettare normative antiriciclaggio e garantire la sicurezza degli account.
Quali dati sensibili sono stati esposti online?
Secondo l'indagine di Malwarebytes Labs, sono stati individuati 2.456 record contenenti informazioni raccolte da Persona durante i processi di verifica. Tra i dati potenzialmente esposti figurano elementi biometrici legati al riconoscimento facciale, immagini di documenti d'identità e altre informazioni personali.
I miei dati su LinkedIn sono a rischio?
Se hai completato una procedura di verifica dell'identità su LinkedIn tramite Persona, i tuoi dati biometrici potrebbero essere stati trattati dalla piattaforma. Non è ancora chiaro se i record esposti riguardino specificamente utenti LinkedIn. È consigliabile monitorare eventuali comunicazioni ufficiali da parte delle piattaforme coinvolte.
Cosa posso fare per proteggere i miei dati personali online?
È possibile esercitare i diritti previsti dal GDPR, tra cui il diritto di accesso (per sapere quali dati sono stati raccolti) e il diritto alla cancellazione. Per farlo, si può contattare direttamente Persona o rivolgersi al Garante per la protezione dei dati personali in caso di mancata risposta.
L'app Persona usa i dati per addestrare l'intelligenza artificiale?
Il CEO di Persona, Rick Song, ha dichiarato che nessun dato personale degli utenti viene utilizzato per l'addestramento dei modelli di intelligenza artificiale dell'azienda. Gli esperti di sicurezza, tuttavia, ritengono che il problema principale resti l'esposizione stessa dei dati, indipendentemente dal loro utilizzo per l'IA.
