Su un sito accessibile a chiunque, sottoscrivendo un abbonamento, è possibile accedere a mail e numeri di telefono personali di esponenti del governo come Conte, il ministro Bonafede. Del segretario del Pd Zingaretti. Di personaggi dello spettacolo e della finanza
di Giulia Floris
Il mio numero di telefono è disponibile su internet, sottoscrivendo un account a pagamento su un sito accessibile a chiunque. Quasi certamente lo è anche il vostro. Così come quello del presidente del Consiglio Conte, del ministro Bonafede e del presidente della Camera Fico. E persino del Garante della privacy Antonello Soro.
Numeri di telefono e altri dati personali disponibili sul web
Non è in corso un cyber attacco e non bisogna essere degli hacker per avere accesso a queste informazioni. Allora com’è possibile? La rivelazione per me arriva in un pomeriggio come tanti, in cui ricevo una telefonata da un numero che non è tra miei contatti. L’interlocutore, un agente immobiliare, sa che mi chiamo Giulia Floris e che vivo a Milano, conosce la mia città di origine e il mio anno di nascita, e mi domanda se sono la proprietaria di un certo appartamento. Ma come è arrivato a me? “Semplice – mi dice – esiste un sito dove si trovano tanti numeri di telefono, tra i quali anche il suo”. All’inizio non ci voglio credere, sono attenta a non lasciare questo genere di dati sul web, non ho mai associato il mio numero di telefono al profilo Facebook, né l’ho mai pubblicato su siti di annunci. Eppure è proprio così. Il mio numero è sul web. Per capirlo mi basta inserirlo sul motore di ricerca indicato, anche nella versione gratuita dei sito. Alle cifre del mio numero, il sistema restituisce immediatamente il mio nome e cognome e i miei account social: Facebook, Twitter, LinkedIn. Facendo la ricerca per nome e cognome però il numero non compare. Ma se si sottoscrive l’account a pagamento, le cose cambiano.
Da dove vengono i dati?
I miei e i vostri dati personali, così come quelli di moltissimi personaggi pubblici sono potenzialmente accessibili a chiunque, al costo di circa 130 euro al mese, attraverso un sito creato da una società che ha sede in Israele e negli Stati Uniti e che Sky Tg24 ha deciso di non rivelare, per non dare ulteriore visibilità a questa breccia nella privacy di tutti noi. Dati che dovrebbero essere tutelati dalle leggi sulla privacy, sono invece alla mercé di chiunque. Ma da dove vengono queste informazioni? In alcuni casi da quello che abbiamo messo online sui social network o altri siti noi stessi e magari nemmeno lo ricordiamo più. Ma questo non vuole dire che chiunque possa usarli indiscriminatamente e soprattutto rivenderli, per scopi che non possiamo conoscere.
Dati pubblici non significa liberamente utilizzabili
“Anche se i dati sono pubblici – spiega Oreste Pollicino, professore di diritto dei media all’Università Bocconi – il trattamento non è lecito se non è chiara l’utilizzabilità e la finalità del dato. La agevole rintracciabilità non autorizza a utilizzare i dati per un modello di business che non è chiaro”. Proprio come nel caso del sito in questione. Altre volte la fonte da cui i nostri dati sono stati presi è del tutto oscura e non rintracciabile con una normale ricerca in Rete. In questo caso, commenta Pollicino, “se manca il requisito di base, cioè l’accessibilità a fonti pubbliche, viene meno del tutto qualsiasi condizione legittimità del trattamento. Lì andremmo in una situazione di illegittimità molto problematica”.
Dati ceduti da altre società e dati esposti nel deep web
I dati potrebbero derivare da società che hanno ceduto informazioni su di noi (magari con il nostro “distratto” consenso ad astrusi termini e condizioni di utilizzo) o, come lo stesso sito rivela, anche dal deep web: tutto quel sottobosco di contenuti non indicizzati da Google e inaccessibile agli utenti comuni. “Il deep web – spiega Michele Barbera, ceo della start-up Spaziodati e data scientist del gruppo Cerved – non è nient’altro che la parte più profonda del web. Qui si trovano gli archivi dei siti, e in questo caso per la gran parte sono dati che possiamo considerare pubblici, anche se pubblico non vuol dire liberamente utilizzabile”. “Ci sono poi – continua Barbera – tutta una serie di dati che sono accessibili per errori di programmazione dei siti, falle nella sicurezza a cui spesso i siti non rimediano come dovrebbero. Infine esistono senz’altro altre possibili fonti meno lecite: dati hackerati che vengono poi esposti o magari venduti nel deep web e anche nel dark web”. Non si può escludere insomma un commercio di dati illeciti, capace anche di sfruttare falle nelle legislazioni di diversi paesi.
Informazioni personali a pagamento
Si approda così in una zona franca in cui è difficile distinguere fra il lecito e l’illecito e in cui è possibile attingere da semplici archivi così come da un traffico di dati illegale. Il risultato? Nello stesso sito è possibile trovare le informazioni più disparate su moltissimi utenti: un vecchio curriculum caricato online chissà quando, una lista creata su Amazon anni prima o l’iscrizione a un social network di cui nemmeno si ricorda più l’esistenza. Fino a dati sempre più delicati, come i numeri di telefono di esponenti del governo, di leader politici come il segretario del Pd Nicola Zingaretti e della presidente di Fratelli d’Italia Giorgia Meloni. Di uomini d’affari come Corrado Passera e Alessandro Profumo. Contatti di attori e attrici famosi. L’indirizzo mail e il numero di cellulare di una showgirl che è stata vittima di stalking.
Identità digitale ricostruita grazie alle tracce nel web
Tutto questo è possibile attraverso un processo chiamato “identity resolution”, che permette di mettere insieme, attraverso precise associazioni, tanti pezzi di un puzzle per arrivare a comporre l’identità digitale di una persona. Anche questo è un aspetto problematico per il professo Pollicino, che sottolinea: “La nostra identità digitale è qualcosa che non sempre coincide con quella reale e che noi dovremmo essere assolutamente liberi di esprimere solo quando riteniamo opportuno e per i fini che riteniamo opportuni”. Inoltre, questi sistemi, spiega Barbera, “non si limitano ad identificare e associare dati personali ma sono anche capaci di associare preferenze e comportamenti degli individui”. “Se ad esempio – continua l’esperto di big data – ho usato lo stesso username in un sito dove ho messo il mio numero di telefono e in uno dove ho espresso le mie preferenze sessuali, ecco che l’algoritmo assocerà le mie preferenze sessuali al mio numero di telefono”. Inoltre, “questi sistemi non tengono conto dell’evoluzione storica della persona, ignorano il tempo in cui le informazioni sono state prodotte, senza distinguere tra periodi diversi”.
Dati impossibili da rimuovere per l’utente
Dati dunque presi spesso non si sa dove, che non si sa per quale fine verranno utilizzati e dei quali non è nemmeno possibile ottenere la rimozione. Di fronte a una richiesta di cancellazione di un numero di telefono dal database la risposta che abbiamo ricevuto è stata infatti che l’unico modo per l’utente di cancellare i dati è rimuoverli alla fonte originaria, dove l’algoritmo li ha pescati. Peccato che l’origine sia, il più delle volte, del tutto oscura e impossibile da identificare per l’utente. E a una seconda richiesta, di specificare la fonte, e di conoscere i nostri dati in possesso non è seguita alcuna risposta. Abbiamo contattato i gestori del sito, ma dopo molti solleciti si sono limitati a dirci con una mail di poche righe di non essere disponibili al momento a concedere interviste. Intanto, ogni minuto che passa, i nostri dati vengono venduti sul web per business e ragioni che ignoriamo e senza che abbiamo mai acconsentito. In spregio alle normative europee sulla privacy, diventate ancora più rigide con l’entrata in vigore del Gdpr.