Dal punto di vista del codice malevolo, CamScanner oggi è probabilmente sicuro. I compromessi sulla privacy restano però rilevanti: i documenti vengono caricati su server sotto giurisdizione cinese dei dati, alcuni SDK pubblicitari raccolgono informazioni sul dispositivo e per usare tutte le funzioni serve un account, che lega la tua attività a un profilo permanente. L'incidente del 2019 con il Trojan-Dropper trovato da Kaspersky Lab è stato corretto — le preoccupazioni strutturali rimangono. Questo articolo mette in fila i fatti pubblicamente noti, spiega i compromessi e ti lascia le conclusioni.
Premessa onesta: sviluppiamo ScanLens, uno scanner concorrente, quindi abbiamo un interesse evidente. Cerchiamo di restare fattuali ed equi. Tutto ciò che segue arriva da fonti pubblicamente accessibili: la ricerca di Kaspersky Lab, i resoconti di Forbes e The Verge e l'informativa sulla privacy pubblicata da CamScanner. Non affermiamo nulla che vada oltre il pubblico dominio.
Cos'è CamScanner?
CamScanner è un'app di scansione di documenti di INTSIG Information Co., Ltd., una società con sede a Shanghai, in Cina. È disponibile da oltre dieci anni su Android e iOS ed è tra gli scanner più installati al mondo. Le funzionalità includono scansione documenti, OCR, archiviazione cloud, conversione PDF e condivisione di file.
L'applicazione segue un modello freemium: pubblicità nella versione gratuita e un abbonamento Premium che la rimuove e sblocca funzioni aggiuntive. CamScanner richiede un account per usare tutte le funzioni e i documenti scansionati vengono sincronizzati sui server cloud del fornitore.
Per anni CamScanner è stato il consiglio ovvio per chiunque dovesse scansionare documenti con il telefono. La cosa è cambiata ad agosto 2019.
L'incidente del codice malevolo del 2019
Ad agosto 2019 i ricercatori di Kaspersky Lab — una delle più note aziende di cybersicurezza al mondo — hanno trovato codice malevolo nella versione Android di CamScanner. Nello specifico: un componente Trojan-Dropper (Trojan-Dropper.AndroidOS.Necro.n) all'interno di una libreria pubblicitaria di terze parti che CamScanner aveva integrato nell'app.
Il Trojan-Dropper poteva scaricare ed eseguire codice malevolo aggiuntivo sul dispositivo dell'utente. Secondo l'analisi di Kaspersky, il modulo poteva mostrare pubblicità invasive, iscrivere utenti a servizi a pagamento a loro insaputa ed eseguire codice arbitrario proveniente da server esterni. Il riscontro è stato così grave che Google ha rimosso CamScanner dal Play Store. Forbes, The Verge, ZDNet e molte altre testate tecnologiche hanno coperto la vicenda.
Per molti utenti è stato il primo caso in cui un'app di produttività diffusa e ben recensita si è rivelata veicolo di codice malevolo — non per un attacco, ma per un SDK di terze parti che lo sviluppatore aveva deliberatamente incluso.
Cos'è successo dopo
Per onestà: INTSIG ha reagito. CamScanner ha rimosso l'SDK pubblicitario incriminato, ha pubblicato una versione aggiornata ed è infine rientrata nel Google Play Store. INTSIG ha attribuito il problema alla libreria pubblicitaria di terze parti e non al proprio codice — cosa plausibile: le compromissioni della catena di fornitura tramite SDK pubblicitari sono un rischio noto dell'ecosistema mobile, e altre app hanno avuto problemi analoghi.
Da quando l'incidente è stato risolto, l'app è disponibile su entrambi i principali store. Non sono stati documentati pubblicamente altri episodi della stessa natura. Va riconosciuto. L'incidente del 2019 non significava che gli sviluppatori di CamScanner distribuissero intenzionalmente codice malevolo. Significava che l'SDK pubblicitario scelto per la monetizzazione introduceva una grave falla di sicurezza. Il punto è cosa questo dica dei compromessi del modello di business dell'app.
Giurisdizione dei dati: cosa significa il legame con la Cina
Indipendentemente dall'incidente del 2019, CamScanner solleva un'altra questione di privacy, slegata da bug o codice difettoso. INTSIG ha sede a Shanghai ed è soggetta — come qualunque azienda che opera in Cina — alla normativa cinese sui dati.
Il quadro normativo cinese — composto dalla Legge sulla cybersicurezza (2017), dalla Legge sulla sicurezza dei dati (2021) e dalla Legge sulla protezione delle informazioni personali (PIPL, 2021) — attribuisce al governo cinese ampi poteri di accesso ai dati conservati dalle aziende sotto la sua giurisdizione. Non è una supposizione né un commento editoriale, è il testo delle leggi.
Quando scansioni un documento con CamScanner e questo viene caricato sui server CamScanner, i dati si trovano su un'infrastruttura gestita da un'azienda sotto giurisdizione cinese. Se il governo cinese abbia mai usato questi poteri per accedere ai dati degli utenti CamScanner non è pubblicamente noto. Ma il quadro giuridico per quell'accesso esiste.
Per alcuni utenti — in particolare chi scansiona documenti finanziari personali, atti legali, informazioni sanitarie o contratti aziendali — questa questione di giurisdizione pesa più di qualsiasi episodio passato di codice malevolo. Il codice malevolo era un difetto correggibile. La giurisdizione è strutturale.
Non è un problema specifico di CamScanner. Qualsiasi app gestita da un'azienda sotto una certa giurisdizione è soggetta alle leggi di quella giurisdizione sull'accesso ai dati. Il punto è capire se quella giurisdizione ti va bene rispetto alla sensibilità di ciò che scansioni. Nel contesto del GDPR, questo solleva inoltre la questione dei trasferimenti extra-UE dopo Schrems II e del Data Privacy Framework UE-USA del 2023.
Cosa dice l'informativa sulla privacy di CamScanner
L'informativa sulla privacy pubblicamente disponibile di CamScanner descrive una pratica standard: raccolta dati utente tramite registrazione dell'account, analytics di utilizzo, archiviazione dei documenti scansionati su server cloud per la sincronizzazione e partner analytics esterni che valutano il comportamento degli utenti.
L'informativa segnala in particolare che i dati possono essere trasferiti all'interno del gruppo INTSIG, inclusa l'infrastruttura in Cina, e che la società rispetta le leggi applicabili in materia di accesso ai dati nella propria giurisdizione. È il linguaggio tipico di un'app cloud — ma stride con un modello di trattamento interamente sul dispositivo, in cui l'informativa sul trattamento dei documenti si riassume in una frase: i documenti non lasciano il telefono. Nel contesto europeo questo modello si inserisce meglio nel quadro del GDPR e del Codice Privacy rispetto a uno scanner che, di default, carica file sensibili fuori dallo SEE.
Cosa propongono invece le alternative attente alla privacy
Se la privacy è prioritaria, gli scanner orientati alla riservatezza adottano alcuni approcci strutturali:
- OCR sul dispositivo. Il riconoscimento del testo viene eseguito sul telefono tramite Apple Vision o motori locali equivalenti, senza inviare il documento a un server remoto. ScanLens, ad esempio, usa Apple Vision su iPhone — i documenti non passano da nessun cloud durante l'OCR.
- Senza account. Installazione e utilizzo senza registrazione, senza legare l'attività di scansione a un profilo permanente.
- Senza pubblicità. Uno scanner non finanziato dalla pubblicità: nessun SDK pubblicitario può innescare il prossimo «incidente AdHub».
- Il tuo cloud per la sincronizzazione. Se serve un cloud, è il tuo — iCloud, Google Drive, Dropbox o OneDrive — e non il cloud proprietario di CamScanner.
- Giurisdizione nazionale. I documenti restano sul tuo dispositivo, nel tuo paese, sotto la tua legge.
Sono differenze strutturali, non di marketing. Rispondono alla stessa domanda fondamentale — dove si trovano i tuoi documenti e chi vi ha accesso — con una scelta architetturale diversa.
Conclusione
CamScanner è sicuro oggi? Sul fronte del codice malevolo, probabilmente sì, e l'incidente del 2019 non si è ripetuto. Ma «niente malware» non equivale a «privato». Il modello di business — elaborazione cloud, SDK pubblicitari nel piano gratuito, account obbligatorio, giurisdizione cinese — implica che più persone e sistemi vedano i tuoi documenti rispetto a un modello sul dispositivo. Per documenti poco sensibili può andare bene. Per documenti molto sensibili vale la pena considerare un'alternativa strutturalmente più rispettosa della privacy.
Se la privacy giustifica un cambio di strumento, dai un'occhiata al confronto ScanLens vs CamScanner — con tabelle dettagliate e analisi dei prezzi. Oppure parti dalla homepage di ScanLens: download gratis, senza account, OCR sul dispositivo.