Risorse per valutare rapidamente EULA e privacy policy di siti e programmi

Se non leggiamo attentamente le privacy policy, i termini di servizio e l'EULA (End User License Agreement), magari non finiremo nei guai come Joan nella sesta stagione di Black Mirror e di certo se una VPN ci arruola nostro malgrado in una botnet (storia vera), non lo scriverà nei "termini e condizioni d'uso"; tuttavia, sapere esattamente quello a cui acconsentiamo, quando usiamo un servizio o un software, è sicuramente una buona abitudine. Peccato si tratti spesso di pagine di testo noiose, poco chiare e scritte in piccolo. Per fortuna, per un utilizzo un po' più consapevole di programmi e servizi online, abbiamo a disposizione alcuni siti e strumenti gratuiti, che risparmiano la lettura agli utenti più pigri (anche se non è un buon alibi), talvolta anche con la possibilità di contribuire segnalando errori e possibili aggiunte.

Privacy parrot

Privacy parrot è un servizio online che ci consente di immettere l'indirizzo di un sito e sapere subito se la sua privacy policy prevede la vendita dei nostri dati; ci verrà inoltre fornito il link diretto per consultarne la policy.

In questa sezione del sito, è inoltre possibile consultare il verdetto per alcuni siti noti già schedati; eccone un esempio:

Privacy Observer

Privacy Observer usa l'intelligenza artificiale per valutare le privacy policy, stilando un rapporto con i principali parametri e un giudizio complessivo. Ecco un esempio:

L'elaborazione dei risultati richiede solitamente meno di un minuto ed è disponibile anche un'estensione nella versione a pagamento. Il sito ufficiale è ancora piuttosto enigmatico, ma qui trovate qualche informazione in più.

ToS;DR

Per una valutazione ancora più dettagliata, ma comunque sintetica, è possibile rivolgersi a Terms of Service Didn't Read (ToSDR in breve), che, basandosi su scala di giudizi da A ad E (v. qui), già nella sua homepage ci accoglie con le pagelle di alcuni noti siti e servizi:

Cliccando sul testo a sfondo rosso View All Points on Phoenix è possibile scrutinare più in dettaglio la valutazione che ci interessa (esempio). Per gli amanti degli add-ons c'è una sezione apposita. Se un servizio non è presente nel suo database, ToSDR non è in grado di analizzarne la policy su richiesta, a differenza di Privacy Parrot (che comunque ci segnala che ToSDR può vendere i nostri dati, anche se nella policy di ToSDR è esplicitamente affermato il contrario; come sempre, mai fidarsi di una sola "perizia").

Common sense - Privacy Evaluations

Pensato principalmente come uno strumento per insegnanti e genitori, il Privacy Program di CommonSense (organizzazione no-profit), ci consente di sfogliare i profili già schedati, oppure usare direttamente la barra di ricerca. La valutazione applicata al servizio in questione (esempio) è basata su parametri ben illustrati qui. Ecco un esempio:

EULA Bro e altri GPTs

Il chatbot (o meglio, uno degli innumerevoli GPTs, basato su GPT-4o) EULA Bro analizza policy e documenti caricati in forma di allegato (molteplici formati disponibili), non li reperisce direttamente da indirizzi web, ma ne propone spiegazioni, sintesi e commenti laconici che semplificano quello che gli viene dato in pasto.

Altri GPTs pertinenti, dal funzionamento simile e sempre fruibili gratuitamente su yeschat.ai, sono: Terms-of-Service-Analyzer, Terms-of-Service-GPT, Open EULA e User-Agreement-Simplifier.

Fra i GPTs che invece richiedono il login ad OpenAI, troviamo EULA analyzer e Terms of Use & Privacy policy Assistant.

AppEsteem

Il sito AppEsteem, mette a disposizione Deceptor, un database di valutazioni di moltissime app ed estensioni (ma non di siti o di servizi online, sebbene per loro sia pertinente la sezione Polluters). L'analisi è molto approfondita e non riguarda solo le privacy policy, comprende spesso screenshot delle violazioni (secondo parametri restrittivi, come illustrato qui e qui), di Autoruns (se necessario), di eventuali modifiche al Firewall di Windows e anche valutazioni degli eseguibili tramite VirusTotal.

2GDPR

Il sito 2GDPR consente un rapido audit per la gestione dei cookies e dei certificati SSL, dunque è quasi offtopic con la tematica di cui ci stiamo occupando, ma merita comunque di essere segnalato come strumento per la valutazione, oltre che della conformità legislativa, dell'attenzione dei siti verso i loro utenti europei. Ecco un esempio:

Estensioni

Non potevano mancare alcune estensioni pensate ad hoc; ne segnaliamo un paio dal Chrome Web Store:

• DocDecoder; open source e basato su ChatGPT 4, è disponibile anche in versione Free, con la possibilità di visualizzare tutte le policy già archiviate e proporne 2 da analizzare al mese
• Simpliterms che utilizza un approccio più neutro rispetto agli altri siti presentati: le policy non vengono analizzate e valutate, ma solo sintetizzate (non in italiano), 3 al giorno gratuitamente.

EULAlyzer

Scaricabile da qui, EULAlyzer è invece una soluzione che non richiede connessione internet e funziona in locale; decisamente un punto in più se si parla di privacy. L'eseguibile (qui trovate il suo MD5 ufficiale) è considerato attendibile da VirusTotal (v. report) e per sapere le modifiche apportate al sistema durante l'installazione sono disponibili, in allegato all'articolo, l'HTM generato con SoftDetective, visualizzabile con qualunque browser, e il report da aprire se avete SoftDetective già installato.

Il programma consente di salvare statistiche ed EULA analizzate, oltre a poterle inviare all'EULA Research Center per migliorare le capacità di rilevamento del programma.

Per avviare l'analisi, è sufficiente andare nella sezione Analyze e spostare l'immagine del "+" sul testo dell'EULA che ci interessa, contenuto in un file di testo o in una finestra di installazione (ma non in un browser), oppure fare semplicemente un copia e incolla nella casella testuale sovrastante:

Una volta fornito il testo, non resta che cliccare su Analyze. Otterremo in un batter d'occhio un elenco di paragrafi in cui verranno segnalate le frasi che suscitano interesse, affiancate da un indicatore di rilevanza e con la possibilità di cliccare sulla colonna GoTO, in corrispondenza della frase segnalata, per leggere nel testo caricato il paragrafo di riferimento.

In basso, c'è la funzione Search Text per cercare parole d'interesse e, a sinistra, un giudizio sintetico circa il testo analizzato. Funziona anche con testi in italiano? Nonostante non sia possibile scegliere una lingua differente per la GUI, EULAlyzer si è dimostrato in grado di elaborare istantaneamente anche privacy policy in italiano, segnalando le parti di testo rilevanti, che vanno poi lette e comprese con attenzione (come in fondo andrebbe fatto con tutta la documentazione nella sua interezza).