Puntata 1 — La macchina di sorveglianza — L’Auto che Ti Conosce — effedc.it
Inchiesta · effedc.it · 5 puntate

L'Auto che Ti Conosce

Dal sedile del conducente ai server di mezzo mondo: come le automobili connesse sono diventate tra i più potenti dispositivi di sorveglianza mai costruiti — e cosa non ci viene detto.

effedc.it Luglio 2026 Dati aggiornati al 6 luglio 2026 Inchiesta Puntata 1 / 5
In sintesi

Questa puntata apre l'inchiesta spiegando perché un'auto moderna raccoglie oggi più dati personali di quanti ne raccolga uno smartphone, e come si è arrivati fin qui senza che quasi nessuno se ne accorgesse.

  • Un'auto di fascia media prodotta dopo il 2020 monta in media 70 o più sensori elettronici; le versioni premium o elettriche possono superarne 100.
  • Secondo la Mozilla Foundation, il settore automotive resta — a distanza di quasi tre anni dal report originale — la peggior categoria di prodotti per la privacy mai analizzata dal progetto "Privacy Not Included": tutti i 25 marchi esaminati hanno ricevuto la bollatura negativa.
  • I dati non arrivano solo dal veicolo: smartphone connesso, app del costruttore, concessionari e siti web formano una catena di raccolta a cinque anelli.
  • Il vero punto di svolta è stato quando i costruttori hanno smesso di considerare i dati un sottoprodotto dei servizi connessi, trasformandoli in un prodotto a sé stante.

00 / Quattro ruote, mille occhi

Esisteva un tempo — non troppo lontano — in cui la tua automobile sapeva soltanto dove eri tu a portarla. Oggi è l'inverso: è lei a sapere dove stai andando, quanto velocemente, se sei sveglio o assonnato, cosa ascolti, con chi parli e persino come sei seduto. L'auto moderna è un dispositivo di raccolta dati con le ruote.

Un'auto di fascia media prodotta dopo il 2020 monta in media 70 o più sensori elettronici. Le versioni premium o elettriche ne possono avere oltre 100. Telecamere interne ed esterne, microfoni per i comandi vocali, accelerometri, giroscopi, radar, lidar, unità GPS con campionamento ogni pochi secondi: tutto questo genera un flusso di informazioni ininterrotto che viene aggregato, trasmesso e conservato.

25/25marchi automobilistici analizzati da Mozilla Foundation hanno ricevuto il marchio "Privacy Not Included" — il settore automotive resta, a oggi, l'unica categoria di prodotti mai recensita dal progetto ad aver totalizzato un fallimento del 100%
⚠ Dato chiave Secondo la Mozilla Foundation, il settore auto è la peggior categoria di prodotti per la privacy mai analizzata nella storia del progetto "Privacy Not Included" — peggio delle app per la salute mentale e dei dispositivi indossabili. La ricercatrice che ha guidato lo studio, Jen Caltrider, ha dichiarato a testate come la BBC che i costruttori usano i dati raccolti per fare inferenze su intelligenza, profilo psicologico e persino convinzioni politiche degli automobilisti.

01 / Non è una novità — ma il ritmo è cambiato

Le preoccupazioni per la privacy nelle automobili connesse non sono nuove. La Federal Trade Commission americana le sollevò in un workshop già nel 2013, seguito da un report nel 2015. Nel 2018 la stessa FTC tenne un secondo convegno dedicato. Per oltre un decennio, questo non ha prodotto regole vincolanti negli USA. Nel frattempo, le case automobilistiche hanno costruito infrastrutture dati di proporzioni straordinarie, in gran parte senza supervisione — una situazione che, come vedremo nella Puntata 3, ha iniziato a incrinarsi solo di recente, con le prime azioni legali concluse nel 2026.

02 / La catena di raccolta

I dati non provengono solo dall'auto stessa. La catena è più articolata di quanto sembri:

  1. Il veicolo in sé — sensori, telecamere, microfoni, connettività OBD, moduli telematici (TCU, Telematics Control Unit)
  2. Lo smartphone collegato — Android Auto, Apple CarPlay e le app native del costruttore accedono a rubrica, cronologia chiamate, messaggi, posizione, app installate
  3. Le app del costruttore — spesso gestite da terze parti (ad esempio, secondo la documentazione Mozilla, BMW gestisce tecnicamente l'app di un altro marchio negli USA); raccolgono posizione e in alcuni casi dati biometrici anche fuori dall'auto
  4. I concessionari — raccolgono dati durante manutenzione, prove su strada e trattative di vendita
  5. I siti web del costruttore — cookie, profili di navigazione, preferenze del configuratore
Contesto tecnico Da luglio 2024, in tutta l'UE, le nuove auto devono montare obbligatoriamente un Event Data Recorder (EDR) — una sorta di "scatola nera" che registra velocità, frenata e stato dei sistemi nei secondi prima di un impatto (Regolamento UE 2019/2144). A differenza dei dati di telematica generale, questi possono essere consultati solo per indagini su incidenti — ma, come vedremo, il confine tra "solo per incidenti" e uso generalizzato resta labile nella pratica.

03 / Cosa abilitano davvero questi dati

La telematica — il monitoraggio remoto del comportamento di guida — è il settore più sviluppato. I dati di accelerazione, frenata, velocità, curvilinearità e uso dei freni vengono campionati con continuità. Questo profilo comportamentale è già oggi utilizzato dalle assicurazioni per calcolare i premi, spesso senza che il conducente ne sia pienamente consapevole — la storia dettagliata di come questo avviene, con nomi e cause legali concluse, è il cuore della Puntata 3.

Ma il profilo va molto oltre la guida. La combinazione di geolocalizzazione continua, riconoscimento del volto (telecamere interne per il monitoraggio dell'attenzione), tracciamento degli occhi e analisi della voce permette di costruire inferenze che la legge classifica come dati sensibili: orientamento sessuale (dai luoghi frequentati), affiliazione religiosa (da moschee, chiese o sinagoghe visitate), condizione di salute (dagli ospedali frequentati), posizione politica (da comizi o sedi di partito nei dintorni).

Una precisazione necessaria. Alcune privacy policy elencano categorie come "attività sessuale" o "dati genetici" tra i dati potenzialmente raccolti — è il caso di Kia, citato da Mozilla. Interpellato da un giornalista della BBC nel maggio 2026, un portavoce Kia ha dichiarato che l'azienda non ha mai effettivamente raccolto dati sulla vita sessuale o sanitaria dei conducenti, e che quelle categorie compaiono nella privacy policy solo per conformità alla definizione di "dati sensibili" della legge californiana (CCPA) — un linguaggio legale precauzionale, non una descrizione di pratiche effettive. È corretto riportare questa precisazione: la privacy policy resta comunque il documento legalmente vincolante che definisce cosa un'azienda *potrebbe* fare, ed è su questo che si fonda l'allarme di Mozilla — ma non equivale alla prova che quella raccolta avvenga davvero in ogni caso.

04 / Da servizi a modello di business

Il passaggio cruciale è avvenuto quando le case automobilistiche hanno realizzato che i dati dei veicoli non sono solo un sottoprodotto dei servizi connessi — sono un prodotto principale. Nel 2022, McKinsey stimava che il mercato dei dati automotive a livello globale potesse raggiungere diverse centinaia di miliardi di dollari entro il 2030, contando ricavi diretti e indiretti lungo l'intera catena del valore automotive (vendita di veicoli, servizi, dati e nuovi modelli di business collegati) — una proiezione ampia, aggregata su più fonti di ricavo, che va letta come tale e non come "fatturato diretto dalla sola vendita di dati".

Questa mutazione trasforma ogni conducente in un produttore non retribuito di valore commerciale per il proprio costruttore. Spesso senza saperlo. Spesso senza reale possibilità di rifiuto — è il tema a cui dedichiamo la prossima puntata, marchio per marchio.

Nella prossima puntata: la tassonomia completa dei dati raccolti, un confronto marchio per marchio basato sull'analisi Mozilla, e i due casi di data breach più gravi della storia automobilistica europea e giapponese.

05 / Fonti di questa puntata

01Mozilla Foundation — "It's Official: Cars Are the Worst Product Category We Have Ever Reviewed for Privacy"mozillafoundation.org, set. 2023
02CleanTechnica — "Mozilla Foundation Condemns Data Collection By Cars" (aggiornamento con caso Kia/BBC e settlement California)cleantechnica.com, 22 mag. 2026
03Federal Trade Commission — "Cars and Consumer Data: On Unlawful Collection & Use"ftc.gov, mag. 2024
04European Data Protection Supervisor — TechDispatch #3: Connected Carsedps.europa.eu
05Regolamento (UE) 2019/2144 — General Safety Regulation 2, Event Data Recorder obbligatorio dal luglio 2024EUR-Lex
06TechPolicy.Press — "Connected Vehicles and Data Privacy & Sovereignty"techpolicy.press, ott. 2024
L'Auto che Ti Conosce — Puntata 1 di 5 · effedc.it · Inchiesta giornalistica
Tutte le fonti citate sono pubblicamente verificabili ai link indicati. Articolo aggiornato al 6 luglio 2026.
Puntata 2 — Il catalogo dei segreti →