Uso illegittimo di Google Analytics: email da Federico Leva che terrorizza i webmaster

Tantissimi proprietari di siti web stanno ricevendo una stranissima lettera da un tale Federico Leva che richiede la cancellazione dei propri dati personali che sono stati registrati con Google Analytics.

Arrivano anche a chi non usa Analytics!

In molti si saranno sicuramente spaventati, ma c’è veramente qualcosa da temere?

Vediamo di approfondire l’argomento e capire come procedere.

La fatidica mail di Federico Leva

Ecco di seguito le prime riche della mail in questione:

---

Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR

Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati,

Vi scrivo in quanto utente del sito ambergreen.biz per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito.

Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa “Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”. Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

---

L’email è firmata da un tale Federico Leva che richiede di rispondere tramite un questionario linkato al fondo.

Cosa succede?

Dopo il recente caso in cui il garante della privacy ha dichiarato che Google Analytics, la soluzione più usata da tutti per monitorare il traffico sul proprio sito web, invia i dati degli utenti tracciati in America e, pertanto, non rispetta le normative Europee, si sono aperte le porte ad un mondo di problemi e, soprattutto, possibilità di phishing.

Quella di Federico Leva sembra in tutto e per tutto una mail creata per raccogliere le informazioni in modo illecito. Non a caso, infatti, vuole che gli venga risposto solo tramite due questionari il cui link è indicato al fondo della e-mail.

A confermare il tentativo di truffa è il fatto che limesurvey.org, il servizio usato per offrire il questionario, ha bloccato l’utente e tutte le sue attività. Infatti, se si clicca sul link si riceve solo un messaggio che al momento non è possibile compilare il form e la richiesta di tornare più tardi

Cosa faccio?

Il nostro parere (non legale) è quello di ignorare l’email, anche perché, in ogni caso, il questionario non è possibile compilarlo perché è stato cancellato, come si vede dallo screenshot qui sopra. Quindi l’unica resta risponderli al messaggio.

Il problema di Google Analytics, però, è veramente grave e le ripercussioni della sentenza, si vedranno sempre di più. Consigliamo, quindi, a tutti gli webmaster di passare a Google Analytics 4, ovvero la nuova versione del software che dovrebbe aver risolto il problema.

Per essere ancora più sicuri, ti raccomando la lettura di questo articolo a riguardo scritto da iubenda, un’azienda che spiega nel dettaglio come mettersi a norma, almeno per ora.

Nonostante questo, ogni persona ha diritto di richiedere la cancellazione dei propri dati personali raccolti da Google, quindi vediamo come si fa. Così, chi vuole essere tranquillo al 100% potrà rimuovere i dati di Federico in pochi passi.

Cancellare i dati personali in Analytics

Nonostante sia pressoché chiaro al 100% che si tratti di una email di massa, perché è identica a tutti e quindi Federico non è venuto a visitare il sito di tutti noi, potete rispondergli di darvi il suo client ID così da andare a cercarlo in Analytics.

I parametri forniti nella mail, infatti, non sono sufficienti. Se avesse visitato il sito di persona, probabilmente avrebbe dato il client ID che vi serve per rintracciarlo come utente.

Probabilmente nessuno riceverà una risposta, ma nel caso siate tra i fortunati a procurarvi il suo client ID, allora vi basta andare in Analytics > Pubblico > Esplorazione Utente e cercarlo nella lista. Una volta trovato, basta selezionarlo e cliccare su Elimina utente.

Io ho risposto al questionario: cosa rischio?

Il phishing è un modo di raccogliere informazioni importanti che nemmeno i migliori antivirus riescono a bloccare. Se hai risposto al questionario, le informazioni che hai inserito, potrebbero essere finite in mano a malintenzionati.

Non ho avuto modo di visionare il questionario, perché era già bloccato quando sono entrato sulla pagina, quindi non so che dati siano stati richiesti.

Spero, però, che se l’hai compilato tu non abbia dato alcuna delle password salvate sui tuoi account. Se lo hai fatto, ti consiglio di cambiare all’istante. In linea di massima, però, avranno raccolto qualche informazione sui titolari dei siti e aggiunto le mail a diverse mailing list di spam.

D’ora in poi, bisognerà fare molta più attenzione, non spaventarsi facilmente e informarsi sempre bene prima di dare dati di alcun tipo su internet.