App Persona, migliaia di dati sensibili accessibili online: bufera sul riconoscimento facciale usato da LinkedIn e Roblox

Il caso Persona ha rivelato un'esposizione allarmante di 2.456 record contenenti dati sensibili, inclusi elementi biometrici per il riconoscimento facciale, accessibili senza adeguate protezioni. A differenza di un tipico data breach, la criticità deriva da una gestione inadeguata della sicurezza dei dati, con implicazioni gravose per la privacy degli utenti. L'app Persona compie 269 controlli durante la verifica dell'identità, coinvolgendo un'enorme quantità di dati, dai selfie ad alta risoluzione ai documenti ufficiali, con analisi incrociate su database pubblici e valutazioni di rischio. Questa mole di informazioni richiama l'attenzione sull'importanza di misure di sicurezza rigorose e sulle conseguenze di eventuali fughe, considerata la sensibilità dei dati biometrici raccolti.

Persona è utilizzata da giganti come LinkedIn e Roblox, piattaforme da cui milioni di utenti, inclusi minorenni, possono aver visto i propri dati biometrici gestiti senza consapevolezza diretta. Questa dipendenza da fornitori terzi per servizi di verifica pone interrogativi critici su trasparenza e tutela della privacy, specialmente rispetto a regolamentazioni europee come il GDPR e l'Artificial Intelligence Act. La questione si complica ulteriormente per Roblox, dato il coinvolgimento di utenti minorenni, soggetti a protezioni normative ancora più stringenti. La risposta del CEO ha escluso l'uso dei dati per addestramento AI, ma esperti sottolineano come il problema centrale sia il semplice fatto che i dati siano stati raggiungibili senza autorizzazione, mettendo in luce vulnerabilità gravi e potenziali rischi di abuso.

Dal punto di vista normativo, le leggi europee classificano i dati biometrici come altamente sensibili, con vincoli severi sul trattamento e la conservazione. L'esposizione dei dati Persona potrebbe quindi attirare l'attenzione delle autorità garanti privacy, con possibili sanzioni e nuovi dibattiti sull'idoneità delle misure di protezione adottate. Per gli utenti, è consigliato esercitare i diritti GDPR, fra cui accesso e cancellazione dei dati, e vigilare sulle comunicazioni ufficiali. Nel frattempo, rimane aperta la sfida di bilanciare innovazione tecnologica e sicurezza nella gestione delle identità digitali, figura centrale nelle attività online che sempre più coinvolgono dati biometrici e sistemi automatizzati.