Chi non ha seguito la vicenda dell’enorme violazione subita da Facebook relativa ai dati personali di mezzo miliardo di utenti e della relativa vendita dell’intero database può leggere l’articolo scritto due mesi fa da Arturo Di Corinto e integrare la notizia con l’avvenuto rilascio, poco prima di Pasqua, in forma gratuita del suddetto database su internet. Un riassunto completo della situazione è stato scritto anche su Reddit dall’utente cm2_0 ed è recuperabile a questo indirizzo.
La “sorpresa di Pasqua” in effetti consiste “solo” nell’aver reso gratuitamente accessibile un database già ampiamente disponibile per qualche decina di dollari, ma questa novità ha praticamente moltiplicato i potenziali soggetti interessati a sfruttare l’immensa mole di dati per gli scopi più disparati.
I servizi on-line di supporto
Fin dalle origini del web esistono servizi on line per aiutare gli utenti a capire se il proprio profilo utente o la propria password sono stati oggetto di violazione e anche questa volta diversi soggetti (volontari, hacker, produttori di antivirus e firewall, etc) hanno creato un form di verifica.
Uno di questi siti, ancora funzionante consente agli utenti di operare tutte le verifiche necessarie e, in caso di risultato “positivo” alzare il livello di allerta (modificare la propria password, disconnettere app legate al servizio, guardare con diffidenza messaggi sms e whatsapp).
Anche due studenti italiani, Marco Buster e Fumaz, hanno creato un servizio di controllo.
Il servizio è stato peraltro perfezionato per garantire una maggiore tutela dei dati gestiti rispetto alla maggior parte degli altri servizi di questo tipo.
Tuttavia, fin da subito, alcuni professionisti della privacy, hanno segnalato ai due studenti alcune criticità di carattere legale che, paradossalmente, riguardavano il servizio.
Lo stop del Garante ad HaveIBeenFacebooked
La questione è stata di nuovo spiegata in un nuovo articolo di Arturo Di Corinto e, per sommi capi, può essere riassunta in questo modo: anche se il database è disponibile ovunque, nessuno degli utenti presenti ha prestato un esplicito consenso a quello spefico trattamento né per essere presente in quella lista e quindi non può essere “puntato” da una query pubblica come quella presente nei siti di servizio. Infatti, poiché è lo stesso database ad essere illegale, in quanto creato senza consenso degli utenti coinvolti, tanto più è illegale ospitarlo in una propria area di memorizzazione e soprattutto gestirlo.
Esiste quindi un unico soggetto autorizzato a gestire quel database e questo soggetto è proprio Facebook. Che però non l’ha ancora fatto!
In ogni caso, verso la serata del 7 aprile, l’avvocato Guido Scorza, uno dei membri dell’autorità Garante, si è detto possibilista sul fatto che le istituzioni possano fornire un servizio analogo a quello ihavebeenfacebooked.
Non possiamo punire i malfattori, ma saremo implacabili con chi vorrà aiutare gli utenti…
La normativa è chiara: quel database scotta! Non memorizzatelo sul vostro PC, non scaricatelo, non condividetelo!
Eppure tutta questa attenzione alla tutela dei dati personali sembra paradossale, dal momento che, per un “errore”, Facebook ha consentito una violazione di dati che coinvolge un numero di utenti pari agli abitanti di un continente e, probabilmente, per questa colpa pagherà una multa insignificante rispetto al proprio fatturato. Ma quello che ferisce è la consapevolezza che non si verrà mai a capo di questa continua e progressiva distruzione della privacy se non riusciremo a impostare correttamente il problema, cosa che potremmo fare solo se riusciremo a identificare con cura i veri responsabili e, soprattutto, a capire di cosa sono responsabili.
Gli utenti
Gli utenti purtroppo sono una parte fondamentale del problema: se gli utenti comprendessero l’importanza e il valore dei propri dati personali, non concederebbero così facilmente sé stessi in cambio di giochini stupidi, app inutili e social network spesso utili solo a scrivere frasi imbarazzanti per la propria reputazione.
Sappiamo però che colpevolizzare i più deboli è una soluzione tanto semplice quanto superficiale: responsabilità e colpa non possono essere considerate in termini quantitativi, ma vanno considerati sulla base della catena delle responsabilità.
Le piattaforme
Le piattaforme tecnologiche dispongono di un vantaggio competitivo enorme a fronte della gestione dei dati personali dei propri utenti ma probabilmente, un’azienda come Facebook guadagna soprattutto grazie all’analisi comportamentale più che al possesso dei dati personali ordinari: chiaramente è importante conoscere l’età, il sesso o la zona di provenienza, ma a Facebook interessa soprattutto vendere la pubblicità di un libro di ricette a chi è interessato ad acquistarlo perché magari si sofferma sui video di cucina. I dati personali “tradizionali” (nome, telefono, email, indirizzi, etc) non sono l’asset più importante di Facebook. Non può neanche venderli così facilmente!
Ammettiamolo: con le attuali restrizioni normative, se Facebook volesse guadagnare dalla vendita di dati personali, farebbe prima a vendere la backdoor attraverso cui fingere un databreach! (ops!)
I regolatori
Bisogna essere razionali: purtroppo sono regolatori, ossia gli Stati e le Authority, i veri responsabili principali: sono essi infatti a non aver garantito ai propri cittadini diritti (il GDPR non ha ancora spento le tre candeline), informazione (sui rischi per i cittadini e per la stessa nazione) e, soprattutto, cultura e istruzione sulla realtà delle piattaforme tecnologiche che divorano dati.
Come dimostrano le insistenti campagne contro l’anonimato in rete, contro la riservatezza nelle comunicazioni, contro la cifratura end2end, contro gli utenti pseudonimi (impropriamente chiamati anonimi), contro la presunta piaga dell’hate speech (un fenomeno grave ma quantitativamente residuale) e come dimostra l’indifferenza verso lo strapotere dei transoceanici divoratori di dati, emerge chiaramente come il problema è che i regolatori si sono concentrati più sulla sicurezza delle organizzazioni che sull’interesse dei cittadini.
Cosa fare?
Se la raccolta dei dati personali deve essere effettivamente proporzionale alle finalità, non si capisce perché un luogo di “svago” come Facebook debba raccogliere dati personali come il numero di telefono o, peggio ancora, utilizzare qualsiasi altro sistema per “confermare” l’identità dell’utente. Già questo basterebbe per vietare la raccolta di dati personali da parte di qualsiasi piattaforma social e di limitare la raccolta alle sole funzionalità per le quali questa è necessaria (acquisti, prenotazioni, transazioni bancarie) ma su basi di dati completamente sganciate da quella principale.
Tuttavia, la pessima prassi di rastrellare dati non è solo il frutto dello stesso design dei social network ma, quel che è più grave, viene sdoganata dalla insofferenza sempre più spesso esibita da VIP, giornalisti e politici presenti nei social.
Sarebbe quindi ora di cambiare paradigma culturale e di concedere piena cittadinanza agli utenti anonimi e di vietare qualsiasi discriminazione nei loro confronti, cosa che peraltro funziona già benissimo con i social del fediverso.
Quando i dati personali diventeranno moneta fuori corso per comprare il biglietto di ingresso nel mondo dei social, gli utenti li useranno molto meno spesso e i data breach saranno sempre di meno, sempre meno appetibili e diventerà più facile gestirne le conseguenze.
Pingback: Cuore indulgente, Scorza resistente | Informa Pirata