Google è intervenuta in un caso giudiziario che deciderà il futuro di uno strumento potente ma controverso per le forze dell'ordine. L'azienda ha presentato un parere alla Corte Suprema degli Stati Uniti sostenendo che i mandati di geofence sono incostituzionali.
Un mandato geofence è una forma di "mandato inverso" che ribalta il concetto di mandato tradizionale. La polizia ottiene un mandato tradizionale quando vuole indagare su una persona specifica. Con un mandato inverso, la polizia non sa esattamente chi sta cercando. Chiede invece a qualcuno (in genere un'azienda tecnologica) un ampio set di dati su un gruppo di persone sconosciute in base ad alcuni comportamenti comuni. Quindi analizza quel set di dati alla ricerca di potenziali sospetti.
Con un mandato geofence, quel set di dati è definito da una posizione e da una finestra temporale. Le forze dell'ordine ottengono un elenco dei telefoni che si trovavano in quella zona durante quel periodo. Tutti i dispositivi che si trovavano all'interno del cerchio vengono riportati nei risultati, anche se nessuno di quelli presenti nell'elenco è sospettato di nulla. L'unico criterio è la vicinanza.
È così che Okello Chatrie è stato accusato di rapina a mano armata in una banca in Virginia nel 2019: il suo telefono è stato localizzato in un'area di 17,5 acri (più grande di tre campi da calcio) coperta da un mandato di geofence. Egli ha sostenuto che questo tipo di ricerca non è costituzionale e non avrebbe dovuto essere utilizzata come prova.
Nel 2024, la Corte d'Appello del Quinto Circuito gli ha dato ragione, ribaltando una sentenza del Quarto Circuito. Ora i pubblici ministeri hanno portato il caso alla Corte Suprema, con le parti che dovranno presentare le loro argomentazioni orali il 27 aprile.
Il caso ha visto una raffica di memorie amicus curiae, ovvero pareri di parti esperte interessate che non hanno alcun coinvolgimento diretto nel caso. Una di queste è quella di Google, che lunedì ha esortato i giudici a considerare incostituzionali i mandati di geofence a causa della loro ampia portata. Negli ultimi mesi ha contestato più di 3.000 di essi per motivi costituzionali.
La memoria di Google affermava:
"Molti di questi mandati eccessivamente generici hanno coinvolto centinaia, talvolta persino migliaia, di persone innocenti. I tribunali statali e federali hanno ripetutamente accolto le richieste di Google di annullare questi mandati eccessivamente generici".
Come viene costruito il database
Sebbene Google sia solo una delle tante organizzazioni che hanno presentato memorie amicus curiae, la sua posizione è particolarmente degna di nota perché storicamente ha raccolto una grande quantità di dati sulla posizione. La sua funzione Timeline (precedentemente denominata Cronologia delle posizioni) registra la posizione dei dispositivi tramite GPS, reti Wi-Fi, Bluetooth e segnali mobili, anche quando le app di Google non sono in uso, secondo quanto riportato nella sua pagina delle norme.
Al momento dell'emissione del mandato Chatrie, registrava la posizione con una frequenza di due minuti. Tutti questi dati alimentavano un database interno centralizzato che conteneva 592 milioni di account individuali. Quindi, secondo un'analisi condotta dal gruppo di difesa della privacy EPIC, che presenta regolarmente memorie amicus curiae su casi relativi alla privacy, per rispondere a qualsiasi richiesta di geofence Google doveva essenzialmente effettuare una ricerca nell'intero archivio prima di produrre un solo nome.
Nel luglio 2025 Google ha trasferito l'archiviazione di Timeline dai propri server ai dispositivi degli utenti, chiudendo la porta a nuove richieste basate sul cloud nei confronti dei propri sistemi. Tuttavia, la questione costituzionale rimane aperta per i dati storici e per tutte le aziende che non hanno seguito l'esempio.
Il mandato che cresceva sempre di più
Un mandato geofence non rimane limitato, secondo una memoria separata presentata dal Center for Democracy and Technology (CDT) nel caso della scorsa settimana. Secondo tale memoria, la risposta standard di Google ai mandati prevedeva tre fasi. Innanzitutto, forniva un elenco anonimo dei dispositivi all'interno del geofence. Quindi, la polizia poteva richiedere i dati di movimento dei "dispositivi di interesse" selezionati, che potevano essere tracciati al di fuori del confine geografico e oltre la finestra temporale originale. Infine, sempre senza ulteriore approvazione giudiziaria, la polizia potrebbe richiedere le informazioni di identificazione dell'abbonato per qualsiasi dispositivo che la polizia decidesse di smascherare.
Nel caso Chatrie, i dati di localizzazione erano talmente imprecisi che, come ha rilevato il tribunale distrettuale, il mandato avrebbe potuto includere dispositivi al di fuori dell'area prevista. Secondo la memoria del CDT:
"Il mandato Geofence avrebbe potuto catturare la posizione di qualcuno che si trovava a centinaia di metri al di fuori del geofence."
Il CDT sostiene nella sua memoria che ciò può compromettere la privacy delle persone che conducono la loro vita quotidiana, svolgendo attività legali che potrebbero non voler rendere note ad altri. Il mandato che ha portato all'arresto di Chatrie includeva un hotel e un ristorante.
Alcune di queste richieste sono molto più ampie. Google ha contestato con successo un mandato che richiedeva la cronologia delle posizioni di chiunque si trovasse in ampie zone di San Francisco per due giorni e mezzo, ha affermato. Google ha lamentato nella sua memoria:
"Nessun tribunale autorizzerebbe una perquisizione fisica di centinaia di persone o luoghi, eppure i mandati di geofence a volte lo fanno intenzionalmente".
Cosa puoi fare per evitare di essere coinvolto in una ricerca di geofencing?
Se il tuo telefono memorizza la cronologia dettagliata delle posizioni con Google, tali dati potrebbero essere inclusi nelle risposte ai mandati di geofence. Limitando ciò che viene salvato è possibile ridurre la quantità di informazioni sulla posizione disponibili.
Ci sono due impostazioni di Google che contano: Cronologia (Cronologia delle posizioni) e Attività web e app. Disattivandone una non si disattiva automaticamente l'altra.
La Cronologia memorizza una registrazione dettagliata dei luoghi in cui è stato il tuo dispositivo, anche se è disattivata per impostazione predefinita. Anche l'Attività web e app può registrare i segnali di posizione quando utilizzi servizi Google come Ricerca, Mappe o altre app.
Google fornisce istruzioni su come rivedere e disabilitare queste impostazioni nella sua documentazione di supporto:
- Come attivare o disattivare la Cronologia delle posizioni / Timeline
- Come gestire l'attività web e delle app
Google ha già risolto in passato cause legali in cui veniva accusata di fuorviare gli utenti riguardo alle modalità di archiviazione dei dati di localizzazione in queste impostazioni, pertanto è importante verificare entrambi i controlli.
I warrant inversi potrebbero non limitarsi ai dati di localizzazione
Le implicazioni del caso vanno ben oltre le mappe, però. Il documento del CDT avverte che, se i tribunali avallassero la logica alla base dei mandati geofence, le forze dell'ordine potrebbero tentare di applicare lo stesso approccio ad altri grandi set di dati detenuti dalle aziende tecnologiche, come i dati dei chatbot basati sull'intelligenza artificiale. Si tratta di un passo che il DHS ha già compiuto, emettendo quello che è stato segnalato come il primo mandato noto per i dati degli utenti di ChatGPT.
Non ci limitiamo a segnalare la privacy, ma vi offriamo la possibilità di utilizzarla.
I rischi per Privacy non dovrebbero mai andare oltre un titolo di giornale. Mantenete la vostra privacy online utilizzando Malwarebytes Privacy VPN.
