Il 13 marzo 2026, un marinaio della Marina militare francese ha completato una corsa di oltre 7 chilometri sul ponte della portaerei Charles de Gaulle, in navigazione nel Mediterraneo orientale a circa 100 chilometri a nord-ovest di Cipro. Ha registrato tutto con il suo smartwatch collegato a Strava — e il suo profilo era pubblico. Il 20 marzo, i giornalisti di Le Monde hanno incrociato i dati GPS della corsa con immagini satellitari, identificando in tempo reale la posizione esatta della portaerei. Lo Stato Maggiore delle Forze Armate francesi ha confermato: è una violazione dei protocolli di sicurezza operativa, e il marinaio sarà soggetto a misure disciplinari.
La notizia ha fatto il giro del mondo. Ma dietro lo scandalo militare si nasconde una domanda che riguarda chiunque utilizzi un'app di fitness: e i tuoi dati dove vanno?
Come uno smartwatch ha rivelato la posizione di una portaerei
Il funzionamento è semplice quanto inquietante. L'ufficiale ha registrato la sua attività con un orologio connesso. Strava ha caricato automaticamente le coordinate GPS del percorso sul suo profilo. Il profilo era impostato come pubblico — l'impostazione predefinita dell'app. Il risultato: chiunque avesse accesso a internet poteva vedere, con precisione al metro, dove si trovava la nave da guerra più potente della flotta francese.
Non è la prima volta che Strava genera un problema di sicurezza militare. Nel 2018, una heat map globale dell'app — che aggregava i percorsi di milioni di utenti — aveva rivelato la posizione di basi militari segrete in Iraq, Siria e Afghanistan. Tra il 2024 e il 2025, un'indagine di Le Monde denominata #StravaLeaks aveva già identificato agenti dei servizi segreti incaricati della protezione di Macron, Biden e Putin attraverso i loro profili Strava pubblici.
I tuoi dati fitness: quanti ne raccoglie davvero un'app?
Molti utenti pensano che un'app come Strava registri soltanto i chilometri percorsi. In realtà, le moderne app di fitness collezionano una quantità molto più ampia di informazioni personali:
- Dati di geolocalizzazione: ogni percorso, con orario, velocità e posizione esatta
- Dati sanitari: frequenza cardiaca, ossigenazione del sangue, livelli di stress, qualità del sonno
- Comportamenti abituali: orari di uscita, luoghi frequentati regolarmente, itinerari fissi
- Dati identificativi: nome, foto profilo, connessioni sociali con altri utenti
Questi dati vengono raccolti 24 ore su 24 dallo smartwatch, sincronizzati con lo smartphone, caricati sui server dell'app — che nel caso di Strava, come per la maggior parte delle piattaforme americane, si trovano fuori dall'Unione Europea — e potenzialmente condivisi con inserzionisti e data broker.
Cosa dice il Garante della Privacy italiano
Il Garante per la protezione dei dati personali ha pubblicato linee guida specifiche sull'uso di fitness tracker e dispositivi indossabili, classificando i dati di salute raccolti da questi dispositivi come dati sensibili ai sensi del GDPR.
In concreto, il Garante sottolinea che:
- I dati di localizzazione possono rivelare "la posizione e i movimenti della persona in momenti specifici"
- I dati sanitari raccolti da wearable includono informazioni sulla pressione sanguigna, il ritmo cardiaco e lo stato di stress, classificabili come dati sanitari a tutti gli effetti
- Le funzioni di condivisione sociale espongono i dati a soggetti terzi non sempre identificabili
- La connessione IoT (smartwatch → smartphone → cloud) amplia significativamente la superficie di esposizione dei dati
Dal 1° gennaio 2026, Strava ha aggiornato la propria privacy policy per allinearsi alle normative europee. Gli utenti nell'UE hanno il diritto di richiedere l'accesso ai propri dati, la cancellazione e la limitazione del trattamento. L'autorità di supervisione principale è la Data Protection Commission irlandese, ma il Garante italiano rimane competente per i casi che riguardano cittadini italiani.
In Italia: il rischio phishing legato alle app fitness
Un aspetto spesso sottovalutato: le credenziali di app come Strava sono diventate un obiettivo per campagne di phishing in Italia. Nel 2026, diverse segnalazioni al CERT-AgID hanno riguardato email false che simulavano comunicazioni di Strava, Garmin e Fitbit per sottrarre username e password.
Una volta in possesso delle credenziali, un attaccante può accedere a:
- Tutta la storia delle attività fisiche (e quindi agli orari abituali)
- I luoghi frequentati regolarmente (casa, lavoro, palestra)
- Le connessioni sociali dell'utente
Questo rende il furto di credenziali di un'app fitness molto più pericoloso di quanto sembri.
Come proteggere i tuoi dati: le raccomandazioni del Garante
Il Garante della Privacy ha identificato alcune misure pratiche per chi utilizza fitness tracker e app di salute:
1. Verifica le impostazioni di privacy prima di iniziare a usare l'app. Strava, per esempio, imposta il profilo come pubblico per default: cambia immediatamente questa impostazione su Privato.
2. Leggi attentamente l'informativa sulla privacy. Controlla cosa viene raccolto, con chi viene condiviso e per quanto tempo viene conservato.
3. Disattiva le funzioni non necessarie. Il tracking della posizione in background, la sincronizzazione automatica con i social network e le heat map pubbliche possono essere disabilitati senza perdere le funzioni principali.
4. Usa l'autenticazione a due fattori. La maggior parte delle app di fitness lo supporta: attivala subito.
5. Evita le reti Wi-Fi pubbliche. I dati trasmessi in chiaro su reti non sicure possono essere intercettati.
6. Usa uno pseudonimo se non vuoi che il tuo profilo sia ricercabile per nome.
Quando rivolgersi a un esperto IT
La gestione dei dati personali nelle app fitness non è solo una questione individuale: per le aziende che forniscono dispositivi aziendali con app di salute ai dipendenti, o che gestiscono dati sanitari raccolti da wearable, il rispetto del GDPR è un obbligo legale con sanzioni fino al 4% del fatturato globale.
Se la tua azienda utilizza app di fitness o benessere aziendale, o se sei un professionista che gestisce dati sanitari, è consigliabile un audit di conformità con il supporto di un esperto di sicurezza informatica e privacy.
La vicenda della portaerei Charles de Gaulle dimostra che anche i professionisti più formati possono sottovalutare i rischi delle app di uso quotidiano. Per chiunque voglia capire come proteggere i propri dati digitali — o come mettere in sicurezza i sistemi della propria azienda — un consulente IT specializzato in privacy e cybersecurity può fare la differenza.
Nota: Questo articolo ha finalità informative generali. Non sostituisce una consulenza legale o tecnica personalizzata. Per questioni specifiche relative al trattamento dei dati personali, si raccomanda di rivolgersi a un esperto qualificato.
