L’app della Liga usava il microfono di milioni di smartphone per trovare gli streaming illegali

Quella della pirateria digitale è una piaga che continua ad affliggere ormai da anni il mondo del calcio televisivo e in streaming, ma il modo in cui la Liga spagnola ha deciso di combatterla le è appena costato una multa salata. L'organizzazione dietro al campionato calcistico di massima serie del Paese ha infatti utilizzato per mesi la propria app ufficiale – disponibile per iOS e Android – per attivare microfono e GPS degli smartphone sui quali era installata, e utilizzare queste componenti per individuare e rintracciare gli utenti che seguivano le partite utilizzando mezzi illeciti. A denunciarlo è l'Agencia Española de Protección de Datos, o AEPD, che in Spagna ricopre un ruolo simile a quello del nostro garante per la privacy e che per questo motivo ha comminato alla Liga una multa da 250.000 euro.

Come funziona l'app della Liga

Scaricata da più di 10 milioni di utenti, l'app fornisce in tempo reale ai tifosi i risultati delle partite e numerose altre statistiche sui loro beniamini. Allo stesso tempo però il software funzioni simili a quelle di un trojan: il microfono rimane cioè in ascolto di ciò che avviene nei dintorni, mentre il GPS associa al flusso audio registrato delle coordinate geografiche. Il pacchetto di dati viene poi inviato ai server della società per essere analizzato in cerca di tracce acustiche che rivelino l'impiego di apparecchiature non legittime per la visione delle partite. In caso di risultati positivi, l'organizzazione ha le prove dell'illecito e un indirizzo approssimativo sul quale concentrarsi per effettuare accertamenti.

Le ragioni di Liga e AEPD

La Liga ha già respinto le accuse annunciando che farà ricorso contro la multa. L'app – hanno spiegato i responsabili dell'organizzazione – non cattura le conversazioni, ma compara semplicemente lo spettro acustico del segnale audio rilevato dal microfono con quello originale delle partite, per trovare corrispondenze e discrepanze che possono portare a identificare gli streaming pirata; inoltre microfono e GPS non vengono attivati in segreto, ma dopo una richiesta di autorizzazione fatta agli utenti al primo avvio dell'app; infine nei termini del servizio è precisato che le due attivazioni sono facoltative e che negarle non compromette il corretto dell'app. La giustificazione fornita secondo l'AEPD però non regge, poiché nei termini non viene comunque fornita alcuna spiegazione agli utenti sull'uso che viene fatto dei dati raccolti, e l'app si troverebbe dunque in violazione del GDPR.

Come un malware

Tralasciando il lato burocratico della vicenda, la soluzione impiegata non sembra particolarmente solida dal punto di vista etico. Importa poco in effetti che nei termini di servizio venga specificato che microfono e GPS si possono tenere spenti: nel campo degli sviluppatori software è risaputo infatti che la maggior parte degli utenti tende a fornire questo genere di autorizzazioni senza farsi domande, semplicemente per il timore che – negandole – l'app appena installata non funzioni. È così del resto che funzionano molti dei malware scovati negli ultimi anni negli store digitali, ma trovare stratagemmi simili impiegati nell'app ufficiale di un campionato multimilionario è un altro conto, e rischia di provocare un danno di immagine per una organizzazione che porta avanti una battaglia comunque legittima.