Do you remember when you were a child, you probably had a favorite toy that was a constant companion, like Christopher Robin had Winnie the Pooh, and your imagination fueled endless adventures? What could be more innocent than that? Well, let me introduce you to my friend Cayla.
Vi ricordate quando eravate bambini, probabilmente avevate un giocattolo preferito che era sempre con voi, come Christopher Robin aveva Winnie the Pooh, e la vostra immaginazione dava vita a infinite avventure? Cosa potrebbe essere più innocente di così? Beh, lasciate che vi presenti la mia amica Cayla.
Cayla was voted toy of the year in countries around the world. She connects to the internet and uses speech recognition technology to answer your child's questions, respond just like a friend. But the power doesn't lie with your child's imagination. It actually lies with the company harvesting masses of personal information while your family is innocently chatting away in the safety of their home, a dangerously false sense of security. This case sounded alarm bells for me, as it is my job to protect consumers' rights in my country. And with billions of devices such as cars, energy meters and even vacuum cleaners expected to come online by 2020, we thought this was a case worth investigating further. Because what was Cayla doing with all the interesting things she was learning? Did she have another friend she was loyal to and shared her information with? Yes, you guessed right. She did. In order to play with Cayla, you need to download an app to access all her features. Parents must consent to the terms being changed without notice. The recordings of the child, her friends and family, can be used for targeted advertising. And all this information can be shared with unnamed third parties.
Cayla è stata votata giocattolo dell'anno in vari paesi del mondo. Si collega a internet e usa la tecnologia di riconoscimento vocale per rispondere alle domande dei bambini come farebbe un'amica. Ma il potere non è nell'immaginazione dei vostri bambini, bensì nell'azienda che raccoglie enormi quantità di informazioni personali mentre la vostra famiglia parla innocentemente al sicuro in casa propria, un pericoloso falso senso di sicurezza. Questo caso mi ha dato motivo di allarme, poiché è mio compito proteggere i diritti dei consumatori nel mio paese. E con miliardi di dispositivi come auto, contatori elettrici e pure aspirapolveri previsti in rete entro in 2020, abbiamo pensato che valesse la pena indagare più a fondo su questo caso. Perché cosa stava facendo Cayla con tutte queste cose interessanti che stava imparando? Aveva un altro amico fedele col quale condivideva le informazioni? Sì, avete indovinato. Ce l'aveva. Per giocare con Cayla, si deve scaricare una app per accedere a tutte le sue funzioni. I genitori devono accettare condizioni che cambiano senza preavviso. Le registrazioni del bambino, degli amici e della famiglia può essere usata per pubblicità mirata. E tutta questa informazione può essere condivisa con terze parti non nominate.
Enough? Not quite. Anyone with a smartphone can connect to Cayla within a certain distance. When we confronted the company that made and programmed Cayla, they issued a series of statements that one had to be an IT expert in order to breach the security. Shall we fact-check that statement and live hack Cayla together? Here she is. Cayla is equipped with a Bluetooth device which can transmit up to 60 feet, a bit less if there's a wall between. That means I, or any stranger, can connect to the doll while being outside the room where Cayla and her friends are. And to illustrate this, I'm going to turn Cayla on now. Let's see, one, two, three. There. She's on. And I asked a colleague to stand outside with his smartphone, and he's connected, and to make this a bit creepier ...
È abbastanza? Non proprio. Chiunque abbia uno smartphone può collegarsi a Cayla entro una certa distanza. Quando abbiamo affrontato l'azienda che ha prodotto e programmato Cayla, questa ha rilasciato una serie di comunicati dicendo che per violare la sicurezza, si doveva essere degli esperti di IT. Vogliamo verificare se è vero e insieme collegarci illegalmente a Cayla dal vivo? Eccola qui. Cayla ha un apparecchio bluetooth che può trasmettere fino a 18 metri, un po' meno se c'è un muro nel mezzo. Significa che io, o uno sconosciuto, possiamo connetterci alla bambola mentre siamo fuori della stanza dove si trovano Cayla e i suoi amici. E per dimostrarvelo, accenderò Cayla. Vediamo, uno, due, tre. Ecco. È accesa. Ho chiesto ad un collega di rimanere fuori con uno smartphone e si è connesso, e per rendere la cosa più raccapricciante...
(Laughter)
(Risate)
let's see what kids could hear Cayla say in the safety of their room.
vediamo cosa i bambini potrebbero sentir dire da Cayla al sicuro nella loro camera.
Man: Hi. My name is Cayla. What is yours?
Uomo: Ciao, Mi chiamo Cayla. Tu come ti chiami?
Finn Myrstad: Uh, Finn.
Finn Myrstad: Finn.
Man: Is your mom close by?
Uomo: tua mamma è lì vicino?
FM: Uh, no, she's in the store.
FM: no, è andata al negozio.
Man: Ah. Do you want to come out and play with me?
Uomo: Ah, vuoi venire fuori a giocare con me?
FM: That's a great idea.
FM: È un'ottima idea.
Man: Ah, great.
Uomo: Perfetto.
FM: I'm going to turn Cayla off now.
FM: Ora spengo Cayla.
(Laughter)
(Risate)
We needed no password or to circumvent any other type of security to do this. We published a report in 20 countries around the world, exposing this significant security flaw and many other problematic issues. So what happened? Cayla was banned in Germany, taken off the shelves by Amazon and Wal-Mart, and she's now peacefully resting at the German Spy Museum in Berlin.
Non c'è bisogno di password né di aggirare altri tipi di sicurezza per fare questo. Abbiamo pubblicato un rapporto in 20 paesi in tutto il mondo, rivelando la significativa falla nella sicurezza e molti altri elementi problematici. Cosa è successo? Cayla è stata vietata in Germania, Amazon e Wal-Mart hanno smesso di venderla, e adesso riposa in pace al Museo delle Spie tedesco a Berlino.
(Laughter)
(Risate)
However, Cayla was also for sale in stores around the world for more than a year after we published our report. What we uncovered is that there are few rules to protect us and the ones we have are not being properly enforced. We need to get the security and privacy of these devices right before they enter the market, because what is the point of locking a house with a key if anyone can enter it through a connected device?
Però, Cayla è stata venduta anche nei negozi di tutto il mondo per più di un anno dopo che abbiamo pubblicato il nostro rapporto. Quello che avevamo scoperto è che ci sono poche regole che ci proteggono e quelle che abbiamo non vengono applicate nel modo giusto. Dobbiamo garantire la sicurezza e la privacy di questi dispositivi prima che entrino nel mercato, perché che senso ha chiudere a chiave una casa se tutti possono entrarci con un dispositivo connesso?
You may well think, "This will not happen to me. I will just stay away from these flawed devices." But that won't keep you safe, because simply by connecting to the internet, you are put in an impossible take-it-or-leave-it position.
Potreste pensare "Non capiterà a me. Starò lontano da questi dispositivi imperfetti". Ma questo non vi terrà al sicuro, perché semplicemente collegandovi a internet, vi mettete nell'impossibile posizione di "prendere-o-lasciare".
Let me show you. Like most of you, I have dozens of apps on my phone, and used properly, they can make our lives easier, more convenient and maybe even healthier. But have we been lulled into a false sense of security? It starts simply by ticking a box. Yes, we say, I've read the terms. But have you really read the terms? Are you sure they didn't look too long and your phone was running out of battery, and the last time you tried they were impossible to understand, and you needed to use the service now? And now, the power imbalance is established, because we have agreed to our personal information being gathered and used on a scale we could never imagine.
Ve lo dimostro. Come la maggior parte di voi, ho dozzine di app sul cellulare, che se usate bene possono renderci la vita più facile, più comoda e forse anche più sana. Ma siamo stati indotti in un falso senso sicurezza? Comincia semplicemente con lo spuntare una casella. Sì, diciamo, ho letto i termini. Ma li avete davvero letti? Siete sicuri che non fossero troppo lunghi e il cellulare non si stesse scaricando, e l'ultima volta che ci avete provato era impossibile capirli, e dovevate usare subito il servizio? E ora, si è instaurato uno squilibrio di potere, perché abbiamo acconsentito che le nostre informazioni vengano raccolte e usate su una scala che non avremmo mai immaginato.
This is why my colleagues and I decided to take a deeper look at this. We set out to read the terms of popular apps on an average phone. And to show the world how unrealistic it is to expect consumers to actually read the terms, we printed them, more than 900 pages, and sat down in our office and read them out loud ourselves, streaming the experiment live on our websites. As you can see, it took quite a long time. It took us 31 hours, 49 minutes and 11 seconds to read the terms on an average phone. That is longer than a movie marathon of the "Harry Potter" movies and the "Godfather" movies combined.
Ecco perché i miei colleghi ed io abbiamo deciso di approfondire questo. Abbiamo deciso di leggere i termini di app molto diffuse su un normale cellulare. E per dimostrare al mondo quanto sia poco realistico aspettarsi che i consumatori leggano i termini, li abbiamo stampati, più di 900 pagine, e ci siamo seduti in ufficio a leggerli ad alta voce, mostrando l'esperimento in streaming sui nostri siti. Come potete vedere, ci è voluto molto tempo. Ci sono volute 31 ore, 49 minuti e 11 secondi per leggere i termini su un normale cellulare. Più di una maratona dei film di "Harry Potter" e del "Padrino" messi insieme.
(Laughter)
(Risate)
And reading is one thing. Understanding is another story. That would have taken us much, much longer. And this is a real problem, because companies have argued for 20 to 30 years against regulating the internet better, because users have consented to the terms and conditions.
E leggere è una cosa. Capire è un'altra. Ci avremmo messo tanto più tempo. E questo è il vero problema, perché per 20 o 30 anni, le aziende si sono battute contro una migliore regolamentazione di internet, poiché gli utenti hanno acconsentito ai termini e condizioni.
As we've shown with this experiment, achieving informed consent is close to impossible. Do you think it's fair to put the burden of responsibility on the consumer? I don't. I think we should demand less take-it-or-leave-it and more understandable terms before we agree to them.
Come abbiamo provato nell'esperimento, ottenere un consenso informato è praticamente impossibile. Pensate sia giusto mettere l'onere della responsabilità sul consumatore? Io no. Credo che dovremmo esigere meno "prendere-o-lasciare" e termini più comprensibili prima di acconsentire.
(Applause)
(Applauso)
Thank you.
Grazie.
Now, I would like to tell you a story about love. Some of the world's most popular apps are dating apps, an industry now worth more than, or close to, three billion dollars a year. And of course, we're OK sharing our intimate details with our other half. But who else is snooping, saving and sharing our information while we are baring our souls? My team and I decided to investigate this. And in order to understand the issue from all angles and to truly do a thorough job, I realized I had to download one of the world's most popular dating apps myself.
Ora vorrei raccontarvi una storia che parla d'amore. Alcune delle app più popolari al mondo sono app di appuntamenti, un settore che ora vale più o meno tre miliardi di dollari l'anno. E ovviamente, a noi va bene condividere i nostri dettagli intimi con la nostra altra metà. Ma chi altro spia, salva e condivide le nostre informazioni mentre noi ci mettiamo a nudo? Il mio team ed io abbiamo deciso di indagare. E per capire il problema da ogni angolazione e per fare davvero un lavoro approfondito, ho capito che dovevo scaricare una delle app di incontri più popolari anche io.
So I went home to my wife ...
Così sono andato da mia moglie...
(Laughter)
(Risate)
who I had just married. "Is it OK if I establish a profile on a very popular dating app for purely scientific purposes?"
che avevo appena sposato. "Va bene se mi creo un profilo su una app di incontri molto popolare per scopi puramente scientifici"?
(Laughter)
(Risate)
This is what we found. Hidden behind the main menu was a preticked box that gave the dating company access to all my personal pictures on Facebook, in my case more than 2,000 of them, and some were quite personal. And to make matters worse, when we read the terms and conditions, we discovered the following, and I'm going to need to take out my reading glasses for this one. And I'm going to read it for you, because this is complicated. All right.
Ecco cosa ho scoperto. Nascosta dietro il menù principale c'era una casella già spuntata che dava all'azienda accesso a tutte le mie foto personali su Facebook, nel mio caso più di 2.000 foto, e alcune erano molto personali. E per peggiorare le cose ancora di più, quando si leggono i termini e condizioni, si scopre la seguente cosa, e per questo ho bisogno degli occhiali per leggere. E ve lo leggo, perché è complicato. Allora.
"By posting content" -- and content refers to your pictures, chat and other interactions in the dating service -- "as a part of the service, you automatically grant to the company, its affiliates, licensees and successors an irrevocable" -- which means you can't change your mind -- "perpetual" -- which means forever -- "nonexclusive, transferrable, sublicensable, fully paid-up, worldwide right and license to use, copy, store, perform, display, reproduce, record, play, adapt, modify and distribute the content, prepare derivative works of the content, or incorporate the content into other works and grant and authorize sublicenses of the foregoing in any media now known or hereafter created."
"Aggiungendo contenuto"-- e per contenuto si intendono foto, chat e altre interazioni sul servizio di incontri-- "come parte del servizio, automaticamente concedete all'azienda, ai suoi affiliati, licenziatari e successori un irrevocabile"-- cioè, non potete cambiare idea -- "perpetuo"-- cioè per sempre -- "non esclusivo, trasferibile, rivendibile, remunerato, diritto mondiale e licenza di usare, copiare, archiviare, eseguire, esibire, riprodurre, registrare, mostrare, modificare e distribuire il contenuto, realizzare opere derivate dal contenuto, o incorporarlo in altre opere, e concedere e autorizzare i licenziatari su ogni mezzo conosciuto o futuro".
That basically means that all your dating history and everything related to it can be used for any purpose for all time. Just imagine your children seeing your sassy dating photos in a birth control ad 20 years from now.
Questo praticamente significa che tutta la vostra storia di appuntamenti, e tutto ciò che ne è collegato può essere usato per qualsiasi scopo per sempre. Pensate ai vostri figli che vedono le vostre foto sfacciate per gli incontri in una pubblicità di anticocezionali fra 20 anni.
But seriously, though --
Seriamente parlando--
(Laughter)
(Risate)
what might these commercial practices mean to you? For example, financial loss: based on your web browsing history, algorithms might decide whether you will get a mortgage or not. Subconscious manipulation: companies can analyze your emotions based on your photos and chats, targeting you with ads when you are at your most vulnerable. Discrimination: a fitness app can sell your data to a health insurance company, preventing you from getting coverage in the future. All of this is happening in the world today.
Queste pratiche commerciali cosa potrebbero significare per voi? Per esempio, perdite finanziarie: basata sulla vostra cronologia web, gli algoritmi potrebbero decidere se avrete un mutuo o no. Manipolazione subconscia: le aziende possono analizzare le vostre emozioni basandosi su foto e chat, mandandovi pubblicità mirata quando siete più vulnerabili. Discriminazione: un'app di fitness può vendere i vostri dati ad un assicuratore, togliendovi la possibità di future coperture. Tutto questo avviene ovunque oggi.
But of course, not all uses of data are malign. Some are just flawed or need more work, and some are truly great. And there is some good news as well. The dating companies changed their policies globally after we filed a legal complaint. But organizations such as mine that fight for consumers' rights can't be everywhere. Nor can consumers fix this on their own, because if we know that something innocent we said will come back to haunt us, we will stop speaking. If we know that we are being watched and monitored, we will change our behavior. And if we can't control who has our data and how it is being used, we have lost the control of our lives.
Ma certamente, non tutti gli usi di dati sono maligni. Alcuni sono solo imperfetti o richiedono più lavoro, e alcuni sono davvero ottimi. Ci sono anche delle buone notizie. Le aziende di incontri hanno cambiato le loro politiche dopo che li abbiamo denunciati. Ma le organizzazioni come la mia che si battono per i diritti dei consumatori, non possono essere ovunque. Nemmeno i consumatori possono risolvere queste cose da soli, perché se sappiamo che qualcosa di innocente che abbiamo detto ci perseguirà in futuro, smetteremo di parlare. Se sappiamo che veniamo spiati e monitorati, cambieremo il nostro comportamento. E se non possiamo controllare chi ha i nostri dati e come questi vengono usati, abbiamo perso il controllo delle nostre vite.
The stories I have told you today are not random examples. They are everywhere, and they are a sign that things need to change. And how can we achieve that change? Well, companies need to realize that by prioritizing privacy and security, they can build trust and loyalty to their users. Governments must create a safer internet by ensuring enforcement and up-to-date rules. And us, the citizens? We can use our voice to remind the world that technology can only truly benefit society if it respects basic rights.
Le storie che vi ho raccontato oggi non sono degli esempi casuali. Sono ovunque e sono un segno che le cose devono cambiare. E come raggiungiamo il cambiamento? Beh, le aziende devono capire che dando la priorità alla privacy e alla sicurezza, possono creare fiducia e fedeltà nei propri utenti. I governi devono creare un' internet più sicura assicurandosi l'applicazione e l'aggiornamento delle regole. E noi cittadini? Dobbiamo usare la nostra voce per ricordare al mondo che la tecnologia può essere di beneficio alla società solo se rispetta i diritti basilari.
Thank you so much.
Molte grazie.
(Applause)
(Applausi)