CLASS ACTION CONTRO AMAZON: QUANDO LA MINACCIA È DENTRO CASA TUA

amazon class action

Il 26 Dicembre, in California, è stata depositata una class action contro la società Ring Inc., una controllata al 100% di Amazon, che produce e vende prodotti per la sicurezza domestica.
Tra la gamma di questi prodotti, sono molto diffuse – da qualche tempo anche in Italia – le video-camere Wi-fi, dotate di microfono e altoparlante, che vengono utilizzate dagli utenti per sorvegliare la propria abitazione o per monitorare in remoto i figli minori.

In America la loro diffusione è capillare ed è facile comprenderne il motivo: tutti i prodotti sono facili da installare – grazie alla connessione Wi-Fi -, hanno un design accattivante, dimensioni contenute e potenti sensori di movimento; inoltre l’utente è attirato dal servizio in cloud su cui sono archiviate le immagini, che ne permette la loro visione da qualsiasi device.

Aggiungasi poi che, dopo la completa acquisizione da parte di Amazon (per 1 miliardo di dollari nel febbraio 2018), il marchio Ring può contare sulla forza monopolistica del colosso mondiale dell’e-commerce, oltre ad una serie di partnership con numerosi dipartimenti di polizia americani; su cui – peraltro – sono in molti a muovere forti preoccupazioni per l’intreccio pericoloso creatosi fra interessi pubblici e privati (LINK)

Un nuovo prodotto Ring che funge da video-citofono.

1. I MOTIVI DELLA CLASS ACTION: VIDEOCAMERE E CITOFONI NON SICURI

Negli ultimi mesi si sono registrate una serie di reclami riguardanti la sicurezza delle video-camere e dei citofoni installati dagli utenti, che sarebbero stati oggetto di reiterati accessi illegittimi da parte di terzi in grado di hackerare il sistema operativo.

A causa di tali vulnerabilità, le videocamere si sono trasformate in uno strumento messo nelle mani di “estranei” o veri e propri criminali, che ne hanno preso il controllo per compiere azioni intimidatorie nei confronti degli utenti o talvolta anche solo “per gioco”, muovendo minacce nei confronti dei malcapitati.

La class action richiama ad esempio il caso di un hacker che, accedendo al microfono in dotazione sul dispositivo installato nella cameretta di una bambina di 11 anni, ha iniziato ad interagire con la minore, molestandola con insulti anche di tipo razziale.

In Texas, addirittura, una coppia è stata svegliata nel bel mezzo della notte dall’allarme di una video-camera Ring manovrata da un criminale che, ottenuta l’attenzione delle vittime, ha richiesto un riscatto di 350.000 $, simulando la sua presenza al di fuori della abitazione, grazie al controllo in remoto del campanello del citofono.
Provate ad immaginare quale sia l’entità del trauma subito dalle vittime dopo un evento di questo genere. Difficile dimenticare quella sensazione di sentirsi indifesi dentro casa. Ce lo conferma, purtroppo, la bambina protagonista dell’episio descritto in precedenza, che oggi ha compiuto 13 anni, ma che nonostante siano passati due anni dall’accaduto si rifiuta ancora di dormire da sola.

Un estratto della Class Action in cui si racconta dell’episodio accaduto in Texas.

Questi ed altri episodi, che qualcuno potrebbe anche scambiare per le sceneggiature di un film horror, sono stati riportati in maniera minuziosa dai legali, a supporto della tesi che denuncia l’assenza di misure di sicurezza all’interno dei dispositivi, tenuto conto, in particolare, delle misure fornite – come impostazione predefinita – dal produttore.

Il riferimento è al principio di “privacy by default” (art. 25 Reg. UE n. 679/16), che richiede prodotti conformi alla protezione dei dati personali fin dalla prima installazione da parte dell’utente, così da garantire un livello minimo di tutela fin dall’inizio.

La non conformità riscontrata – secondo la difesa – assumerebbe connotati ancora più gravi:

  • Per lo status di Ring, quale società produttrice di telecamere di rilevamento per la sicurezza domestica; il che dovrebbe rendere la stessa azienda consapevole dei rischi connessi ad una violazione di sicurezza che abbia ad oggetto prodotti installati dentro le mure di casa dei propri utenti;
  • per la natura dei dati trattati dalle video-camere e per le conseguenze connesse ad un loro accesso non autorizzato o alla divulgazione dei dati raccolti tramite il dispositivo; si pensi ad immagini o video intimi che potrebbero essere utilizzati per fini di estorsione, richiedendo un riscatto alla vittima o magari venduti a terzi nel c.d. dark web, un luogo “oscuro” in cui tali dati troverebbero un mercato fiorente;
  • per il tipo di connessione che imporrebbe maggiori controlli; come noto, infatti, la navigazione in modalità Wi-fi espone maggiormente i dispositivi ad attacchi informatici da parte di agenti esterni.

2. LE VIOLAZIONI DI SICUREZZA CONTESTATE.

In particolare, sono mosse due contestazioni sul fronte della sicurezza: l’assenza di un sistema di autenticazione a due fattori nonchè di un sistema che guidi gli utenti verso la creazione di password complesse per l’accesso ai dispositivi.
Entrambi i controlli avrebbero aumentato – a detta dei querelanti – i livelli di protezione delle video-camere, evitando il verificarsi degli eventi denunciati.
Come noto, l’autenticazione a due fattori migliora sensibilmente la sicurezza degli accessi perchè all’utente sono richieste due informazioni: una password e un successivo codice di verifica che viene inviato ad un altro dispositivo registrato dall’utente stesso (ad esempio, il suo cellulare).
Per cui se un terzo riesce in qualche modo ad ottenere la password dell’utente non riuscirà comunque ad accedere al suo account, a meno che non sia in possesso anche del dispositivo che riceve il codice di verifica.

Quanto alla c.d. password complessa, si tratterebbe di un sistema che obbliga l’utente a registrare una password con certi requisiti minimi (es.: lunghezza di 8 caratteri, almeno un numero e un carattere maiuscolo).
Va da sè che maggiore è la complessità della password, minori sono le probabilità che la stessa venga violata.

La vicenda giudiziaria, anche se si svolgerà nelle aule di tribunali americani, va comunque seguita con molta attenzione anche qui in Italia dato che – da qualche mese – le videocamere Ring sono acquistabili nel nostro Paese e, grazie alla notorietà di Amazon, che ne incentiverà l’acquisto sulla propria piattaforma, siamo certi che questi prodotti innovativi entreranno nelle case di molti italiani.

3. LA STESSA CLASS ACTION SAREBBE POSSIBILE IN ITALIA?

Le violazioni di sicurezza che sono state descritte inquietano e allo stesso tempo fanno riflettere perchè incidono sulla privacy nel senso più profondo, intesa come diritto di essere lasciati soli nel luogo che più di ogni altro dovrebbe essere espressione del concetto di riservatezza, cioè la propria abitazione.

Ma se accadessero episodi simili in Italia, avremo strumenti di tutela efficaci da poter attivare?
Alla luce dell’ultima riforma dell’azione collettiva si può propendere per una risposta affermativa, essendovi oggi spazi di manovra – prima impensabili – che lasciano intravedere nuovi scenari applicativi.

Di recente è infatti entrata in vigore la nuova legge 31/2019 (“Disposizioni in materia di azione di classe”) che ha modificato l’istituto della class action, di fatto rendendo possibile una azione analoga a quella che è stata promossa in America.
Sono stati infatti eliminati alcuni limiti sostanziali e processuali che in passato ne avevano impedito la sua applicazione pratica.

Come prima novità, va detto che ora sono legittimati ad agire non solo i consumatori ma tutti coloro che desiderano avanzare pretese risarcitorie in seguito alla lesione di ‘diritti individuali omogenei’.
Sono quindi ricomprese anche le imprese o le associazioni senza scopo di lucro iscritte in apposito elenco pubblico, istituito presso il Ministero della giustizia.

Inoltre, è stato ampliato il novero dei diritti tutelati.
Si è deciso di superare il limite precedente, che restringeva il campo alle sole ipotesi di responsabilità contrattuale (es. frodi o pratiche commerciali sleali), includendo ipotesi di danno per lesione di diritti fondamentali, fra cui certamente rientra lo stesso diritto alla privacy e, in generale, il rispetto della propria vita privata e familiare, ampiamente riconosciuto nei trattati internazionali di cui l’Italia è firmataria (si veda, tra gli altri: l’art. 8 della Dichiarazione Universale dei diritti dell’Uomo, l’art. 12 della Convenzione Europea sui diritti dell’Uomo e l’art. 8 della Carta di Nizza, con una previsione specifica sulla protezione dei dati personali).

Senza dimenticare che il GDPR (il Regolamento Europeo sulla protezione dei dati personali) dedica un intero articolo (cfr. art. 80) all’ipotesi di farsi rappresentare in sede di reclamo o ricorso giudiziario da un organismo, un’organizzazione o un’associazione senza scopo di lucro, “i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali”

È indubbio che queste novità favoriranno l’attivazione di future class action, anche e soprattutto per questioni attinenti la materia della tutela dei dati personali, cui si aggiunge un ulteriore elemento da non sottovalutare per i suoi effetti, potenzialmente dirompenti: il ricoscimento – nel nostro ordinamento e a certe condizioni – di sentenze straniere, fra cui quelle emesse all’esito di class action.

Su questo punto è bene ricordare che la Cassazione a Sezioni Unite (sent. n. 16601/17), ha ritenuto compatibili con il nostro sistema giuridico quei danni punitivi che sono spesso comminati proprio a margine di class action contro i grandi colossi o le multinazionali, per non vincolare l’entità del risarcimento al solo danno effettivo subito dal danneggiato.

Insomma, gli strumenti di tutela ci sono e oggi appaiono in grado di proteggere più efficacemente i diritti degli interessati.