Il Citizen Lab porta alla luce uno dei casi più emblematici di trasformazione dell’ecosistema pubblicitario in infrastruttura di sorveglianza globale. Il report pubblicato il 9 aprile 2026 ricostruisce il funzionamento di Webloc, piattaforma oggi venduta da Penlink dopo la fusione con Cobwebs Technologies, capace di monitorare fino a 500 milioni di dispositivi mobili in tutto il mondo attraverso dati raccolti da app consumer e sistemi di advertising digitale. Il sistema aggrega coordinate GPS, reti Wi-Fi, identificatori pubblicitari, indirizzi IP e profili comportamentali, consentendo a clienti governativi e forze dell’ordine di ricostruire spostamenti, luoghi di residenza, routine e relazioni sociali con dati storici che possono coprire fino a tre anni. Il caso riapre il dibattito su privacy, mandato giudiziario e limiti dell’ad-tech come fonte di intelligence.
Cosa leggere
Webloc trasforma i dati advertising in sorveglianza geolocalizzata di massa
Il cuore della piattaforma è la capacità di sfruttare i dati generati dall’industria pubblicitaria mobile. Webloc acquisisce flussi provenienti da SDK integrati nelle app e dai sistemi di real-time bidding, i meccanismi che alimentano le aste pubblicitarie in millisecondi. Ogni record può includere MAID, timestamp, latitudine, longitudine, precisione del fix, carrier, sistema operativo, interessi e segmenti demografici. Da questi elementi il sistema genera mappe di movimento, heat map e geofence con alert automatici quando un dispositivo entra o esce da una zona. In pratica, dati nati per targeting commerciale diventano materia prima per il monitoraggio continuo di popolazioni intere. Il Citizen Lab sottolinea che questa evoluzione consente una sorveglianza estremamente invasiva senza necessità di strumenti di intercettazione tradizionali o malware.
La fusione Cobwebs Penlink consolida una piattaforma già usata da governi
Le origini di Webloc risalgono a Cobwebs Technologies, società israeliana fondata nel 2015 da ex membri di forze speciali e intelligence. La piattaforma era inizialmente proposta come estensione di Tangles, sistema di intelligence per social media e web investigation. Dopo la fusione del 2023 con Penlink, il prodotto è confluito in una struttura commerciale più ampia senza interrompere la continuità operativa. Il report indica contratti tra il 2021 e il 2025 con agenzie statunitensi fino a 2,3 milioni di dollari, confermando l’accesso a un flusso costante di dati da centinaia di milioni di smartphone. Questo passaggio industriale è rilevante perché mostra come la sorveglianza ad-based sia ormai entrata nel portafoglio di vendor specializzati in digital intelligence per law enforcement e sicurezza nazionale.
ICE, intelligence ungherese e polizia di El Salvador tra i clienti emersi
Uno degli aspetti più delicati del report riguarda l’elenco dei clienti identificati. Il Citizen Lab conferma l’uso della piattaforma da parte dell’intelligence ungherese, della Polizia Civile Nazionale di El Salvador e di numerose agenzie negli Stati Uniti, tra cui ICE, Dipartimento della Difesa, Texas DPS, dipartimenti di polizia di Los Angeles, Dallas, Baltimora, Tucson e Durham.
La presenza di enti così eterogenei mostra come la piattaforma sia impiegata non solo in ambito antiterrorismo o sicurezza nazionale, ma anche per attività di polizia locale e controllo dei confini. Questo amplia enormemente le implicazioni sul piano dei diritti civili, perché tecnologie nate per marketing e location analytics possono finire in contesti di sorveglianza quotidiana senza reale controllo democratico.
SDK e real time bidding alimentano il tracciamento persistente dei MAID
| Cliente | Contratti |
|---|---|
| Agenzia per l’immigrazione e le dogane (ICE) , Dipartimento per la sicurezza interna (DHS) | Settembre 2025 – Settembre 2026, licenze Tangles e Webloc per un valore fino a 2,3 milioni di dollari. 2023 – 2025, licenze Cobwebs/Tangles per un valore di 3,4 milioni di dollari. 2022 – 2023, licenze Cobwebs Tangles per un valore di 225.060 dollari, molto probabilmente includendo Webloc secondo una proposta di prezzo. |
| Comando spaziale e di difesa missilistica dell’esercito degli Stati Uniti (USASMDC) , Esercito degli Stati Uniti | 2022 – 2023, Tangles e Webloc |
| Ufficio dell’intelligence navale , Marina degli Stati Uniti | 2021 – 2022, Webloc |
| Ufficio di polizia per gli affari indiani (BIA-OJS) , Ufficio per gli affari indiani (BIA) del Dipartimento degli Interni degli Stati Uniti | 2023 – 2025, Tangles e Webloc |
Sul piano tecnico, il report distingue due canali principali di acquisizione. Il primo è SDK-based: librerie di terze parti presenti nelle app che raccolgono dati di posizione e identificatori pubblicitari. Il secondo è RTB-based, legato alle aste pubblicitarie in tempo reale, dove enormi volumi di dati utente vengono condivisi per la compravendita di impression pubblicitarie. Entrambi i flussi convergono verso data broker e poi in Webloc, che normalizza i record e li rende interrogabili per singolo dispositivo o per area geografica. Sebbene IDFA e Advertising ID vengano spesso presentati come pseudonimi, la combinazione con pattern di mobilità, orari e reti Wi-Fi rende la re-identificazione estremamente semplice, permettendo di inferire abitazione, luogo di lavoro, luoghi di culto e frequentazioni personali.
Il rischio per GDPR e diritti civili supera la semplice geolocalizzazione
| Categoria dati | Descrizione |
|---|---|
| Identificativi personali | ID pubblicitario mobile per dispositivi Android e iOS, indirizzo IP |
| Timestamp | Ogni record ha un timestamp |
| Geolocalizzazione | coordinate GPS, posizione Wi-Fi, precisione |
| Dati di geolocalizzazione dedotti | Luogo di residenza, luogo di lavoro, luoghi più visitati |
| Dati Wi-Fi | SSID, BSSID, stato della connessione |
| Informazioni sul dispositivo | Modello del dispositivo, produttore, tipo, sistema operativo |
| Caratteristiche personali | Età, sesso, luogo/lingua, genitore (s/n), viaggiatore (s/n), giocatore (s/n) |
| Profilo comportamentale | Segmenti/categorie di targeting pubblicitario, ad esempio “Dati demografici/Lingua/Inglese”, “Trasporti/Trasporto pubblico/Pendolari”, “Acquisti/Comportamenti/Beni di lusso” |
| Applicazioni utilizzate | Elenco delle app mobili utilizzate, incluso il periodo di tempo in cui ciascuna app è stata visualizzata sul dispositivo. |
Le implicazioni non si fermano alla privacy individuale. Un dispositivo seguito per mesi consente di ricostruire routine lavorative, orientamento religioso, relazioni affettive, abitudini sanitarie e partecipazione politica. Il Citizen Lab descrive questo fenomeno come un caso di mission creep della sorveglianza commerciale, in cui dati raccolti per marketing vengono riutilizzati per finalità governative senza base giuridica chiara. In ambito europeo il tema diventa ancora più sensibile alla luce del GDPR, che impone limiti stringenti su finalità, minimizzazione e base legale del trattamento. La conferma dell’utilizzo in Ungheria rende il caso particolarmente rilevante anche per le autorità di protezione dati dell’UE, chiamate a valutare possibili violazioni del principio di proporzionalità.
L’applicazione in Italia
Il report del Citizen Lab evidenzia un forte coinvolgimento dell’Italia nell’infrastruttura di Webloc, la piattaforma di sorveglianza geolocalizzata di Penlink. Il sistema dispone di server attivi sul territorio italiano, inseriti nella rete di 298 server distribuiti in 25 Paesi. Inoltre, gli analisti hanno documentato il tracciamento di 1.433 record di dati relativi a dispositivi che hanno generato attività tra Italia e Romania, dimostrando l’efficacia del tool nel monitorare movimenti transfrontalieri. Questa presenza infrastrutturale e l’utilizzo di dati pubblicitari per tracciare centinaia di milioni di dispositivi sollevano gravi preoccupazioni per la privacy dei cittadini italiani, in quanto il sistema opera senza mandato giudiziario e potrebbe violare i principi del Regolamento GDPR in materia di finalità del trattamento e minimizzazione dei dati.
Webloc diventa il simbolo della mercificazione della sorveglianza
Il caso Webloc sintetizza perfettamente una tendenza strutturale: lo smartphone moderno produce dati che, pur raccolti per scopi commerciali, possono essere convertiti in strumenti di intelligence di massa. Il report del Citizen Lab dimostra che il problema non riguarda solo malware o spyware offensivi, ma l’intera filiera dell’ad-tech, dove ogni app con SDK di terze parti può contribuire a creare un archivio di movimenti persistente e interrogabile. Per utenti, giornalisti, attivisti e minoranze, questo scenario apre interrogativi enormi sulla libertà di movimento e sull’anonimato nello spazio fisico. La richiesta implicita del report è chiara: servono regole più severe su advertising ID, data broker e geolocation data prima che la sorveglianza commerciale diventi definitivamente infrastruttura ordinaria del potere pubblico.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
