In principio fu il Social Engineering

Profilazione, Big Data, pubblicità personalizzate, tutti temi molto in voga da qualche anno a questa parte, hanno un antenato comune: L'Ingegneria Sociale, dall'inglese Social Engineering. Per capire il significato di questa espressione bisogna tenere a mente che l'inglese "Engineering" ha un'accezione molto più estesa del corrispettivo italiano "Ingegneria": mentre quest'ultimo si riferisce quasi esclusivamente alla ben nota facoltà universitaria, cioè l'insieme delle capacità di trasformare le conoscenze in ambito scientifico e tecnologico in prodotti e servizi disponibili alla collettività, il termine inglese comprende anche le varie branche tecniche non necessariamente di livello universitario. Nel caso specifico, si intende la capacità di studiare il comportamento di qualcosa per intuirne il funzionamento interno; solo che il "Social" che viene prima ci precisa che il qualcosa sono le persone.

Di per sé, è una tecnica non recente, ma ovviamente l'avvento dell'informatica di massa l'ha resa particolarmente efficiente per via del numero elevato di elementi che possono esserne bersaglio, e la possibilità di effettuarla da lontano e in completo anonimato. In questa fase, la tecnica si poteva effettivamente considerare un attacco informatico, nel senso che c'era qualcuno che tramite azioni mirate ed ingannevoli cercava di indurre il malcapitato di turno a dare informazioni che altrimenti avrebbe tenute riservate, oppure a fare azioni a profitto dell'attaccante. Da quando poi c'è stato l'avvento dei social network, il fenomeno è esploso, tanto da specializzarsi in varie branche con scopi diversi e da diventare la fonte delle maggiori ricchezze moderne; ma in questo caso l'attacco mirato da parte di un malfattore è stato sostituito da una generale induzione alla condivisione selvaggia dei fatti propri attraverso prodotti e servizi apparentemente innocui ed utili (ogni riferimento a fatti reali è puramente... voluto!).

Cerchiamo di capirci meglio, andando nel concreto di qualche situazione.

Gli scopi più comuni sono:

• Furto d'identità
• Furto di password per accessi fraudolenti
• Ricatto
• Influenzare i comportamenti futuri

L'esempio più comune è il phishing, cioè la mail che induce ad inserire le proprie credenziali di accesso ad un servizio in un falso sito, per poi utilizzarle nel sito vero (se si parla della vostra banca, potete immaginare da soli l'effetto); sempre in tema di mail, esse sono il veicolo più utilizzato per la diffusione dei ransomware, cioè quei virus che cifrano i dati e richiedono un riscatto per la decifratura, attraverso allegati il cui presunto contenuto viene in qualche modo a scatenare il nostro interesse. Il più pericoloso attacco di questo tipo, soprattutto se perpetrato verso minori, è carpire la fiducia per poi abusarne (il termine non è scelto a caso: i casi di cronaca sono terrificanti).

Il vero scopo del post però è quelli di mettere in guardia rispetto alle tecniche passive, cioè a quelle che fanno uso dei dati che noi stessi rendiamo pubblici attraverso la nostra normale attività online.

L'esempio più lampante sono le innumerevoli foto fronte/retro postate sui social network delle carte di credito, così da rendere visibili tutti i dati che vi sono riportati: avete mai pensato che sono esattamente i dati che vengono richiesti quando fate un pagamento online? Quindi: foto postata, acquisto fraudolento in 5, 4, 3, 2, 1... (non ci credete che qualcuno sia così stupido? c'è un account twitter che retweeta questi geni...).

Simile è il caso del nostro codice fiscale, che racconta di noi tutti i dati anagrafici (e il furto d'identità è servito; per questo non vi lamentate quando vi chiedono la fotocopia della carta d'identità, e magari evitate di postarne una foto!).
Infine, i fatti recenti dimostrano che anche solo i like/mi piace/retweet e compagnia cantante forniscono indicazioni estremamente precise sulla nostra personalità, che poi vengono utilizzate per indirizzare i nostri comportamenti futuri, a partire dagli acquisti per finire al voto elettorale, attraverso informazioni personalizzate (e intendo: espressamente indirizzate ad una determinata persona).

Altra possibilità è quella di incrociare informazioni da fonti differenti: a me è capitato in più di un caso di intuire informazioni di persone che seguo su Twitter, ma che non conosco assolutamente di persona, basandomi solo su ciò è all'interno dei loro post (casi reali: ho trovato il cognome di un utente che aveva fornito solo il nome; per un altro ho capito dove vive; non si contano i casi di intuizione delle tendenze politiche). Ma il caso più comune e secondo me pericoloso è quello di fornire involontariamente indicazioni di quando si è lontani da casa (tipicamente, quando si è in vacanza, ma non solo), postando selfie appena scattati da cui è evidente risalire al luogo in cui ci si trova, che chiaramente non è quello in cui si vive; tenendo conto che ormai con l'intelligenza artificiale è possibile riconoscere posti anche molto poco comuni e da pochi, apparentemente insignificanti, dettagli.

L'errore più grave che si può commettere è quello di pensare che tutto ciò non riguardi noi: i malintenzionati non vanno per bersagli precisi, ma cercano nel mucchio di cui noi tutti facciamo parte. Il mio consiglio, prima di condividere anche la più più innocente delle informazioni, è chiedersi: a che scopo può essere utilizzata a mio danno? Ricordandoci poi che internet non dimentica.

P.S. Mai, MAI, MAI utilizzare informazioni personali per scegliere le vostre password!!!

Facebook ieri, oggi e domani

Da ormai diversi giorni Facebook è sulla bocca di tutti, dopo i presunti scandali svelati dai media. Molti ne hanno parlato e commentato. Personalmente, per scelta legata più al comune utilizzo che ne viene fatto, non ho mai avuto un account Facebook (né Whatsapp o Instagram, che per chi non lo sapesse sono società che appartengono a Facebook), per cui quello che so è esperienza indiretta. Ciò nonostante, propongo una visione, spero originale ed interessante, di quello che sta succedendo.

Facebook ieri

Dalla pagina di Wikipedia Italia relativa alla voce Facebook:

Facebook è un social network lanciato il 4 febbraio 2004[...]. Il sito, fondato ad Harvard negli Stati Uniti dal proprietario Mark Zuckerberg e diversi colleghi [...] era originariamente stato progettato esclusivamente per gli studenti dell'Università di Harvard, ma fu presto aperto anche agli studenti di altre scuole della zona di Boston, della Ivy League e della Stanford University.

Successivamente fu aperto anche agli studenti delle scuole superiori e poi a chiunque dichiarasse di avere più di 13 anni di età. [...] Ha cambiato profondamente molti aspetti legati alla socializzazione e all'interazione tra individui, sia sul piano privato che quello economico e commerciale.

Tutto questo per dire che presumibilmente Facebook è nato con l'innocente intenzione di essere un punto di contatto e socializzazione per una comunità ristretta, ma evidentemente ha incontrato un bisogno inespresso della società del nostro tempo, amplificato dal quasi contemporaneo boom del mobile, ed il suo successo è andato ben oltre le aspettative di chi l'ha creato. 
Il successo ha inevitabilmente comportato crescenti necessità economiche (non dimentichiamo che mantenere un servizio internet, anche banale, ha costi non indifferenti). In "soccorso", sicuramente prima è venuta la pubblicità, secondo il business model in voga in quei primi anni della diffusione di internet come fenomeno di massa; poi la pubblicità mirata, utilizzando la profilazione degli utilizzatori; infine, ed è il problema evidenziato degli scandali odierni, ma già presente da anni, la raccolta e/o vendita di dati personali a fini di influenza sociale e politica. E soprattutto in quest'ultimo caso, è facile immaginare che anche le migliori intenzioni dei primi tempi possano aver ceduto il passo alle sirene dei soldi facili, soprattutto se nei dirigenti non ci fosse stata una adeguata sensibilità ai temi della privacy.

La riflessione sul passato, però, non può prescindere da un dato inequivocabile: nessuno dei dati personali utilizzati, per qualsivoglia fine, è stato estorto con la forza o con l'inganno: tutto è stato volontariamente fornito dagli utenti del servizio, semplicemente utilizzandolo. Inoltre, l'utilizzo dei dati per scopi di marketing (ma non solo) era scritto nelle privacy policy (basta controllare: alcuni estratti delle policy a gennaio 2017 sono riportate in un mio vecchio post). Quindi, per gli addetti ai lavori, non c'è nessuno scandalo: era tutto noto, ma chi ha provato a mettere in guardia la massa è stato semplicemente ignorato.

Facebook oggi

Lo scandalo, come tutti (speriamo!) ormai sanno, è nato dal caso Cambridge Analytica (ho segnalato diversi articoli e commenti attraverso l'hashtag #ilvecchiolupodimare), in cui, è bene ricordare, i profili degli utenti sarebbero stati usati per influenzare il loro voto nelle elezioni presidenziali americane e nel referendum britannico sull'abbandono dell'UE (ma la società, in parte, nega o ridimensiona le cose); poi mano mano, con il tempismo tipico del giornalismo che si sveglia solo quando sente "l'odore del sangue", sono arrivati altri casi, fino al più recente che ha svelato finalmente il segreto dell'acqua calda: tutti i dati di tutti gli utenti sono stati usati per scopi poco chiari e trasparenti. In realtà era già qualche settimana che rimbalzavano sui media specializzati dichiarazioni di osservatori, o anche di ex dirigenti di Facebook stessa, riguardante proprio le politiche "allegre" di utilizzo dei dati personali degli utenti (e, non dimentichiamolo, anche dei loro amici, inclusi quelli non iscritti).

Il buon Mark si è assunto le sue responsabilità (o quanto meno ha finto di farlo: ci sono in giro presunte dichiarazioni di Zuckerberg stesso, più o meno rubate, che lasciano pochi dubbi sull'intenzionalità delle azioni), ed ha promesso una stretta sull'utilizzo indiscriminato dei dati (tipico esempio del chiudere il recinto dopo che i buoi sono scappati). Sempre per rimanere nelle reazioni a scoppio ritardato, c'è chi teatralmente ha chiuso i suoi account, e chi ha iniziato a suggerire di farlo. I "tecnici", come me, hanno segnalato le istruzioni di varie operazioni utili, come scaricare tutti i propri dati o come (provare a) cancellarli. Insomma, il caso ha generato, forse per la prima volta, una certa reazione dei commentatori.

In realtà, a me sembra che in tutta questa confusione, emerge assordante il silenzio degli utenti di Facebook, almeno i non VIP.

Facebook domani

Ed ora, cosa succederà? Certo, considerando che anni fa avevo già previsto l'imminente fine di Facebook, che invece è diventato il rappresentante per antonomasia della categoria dei social network, non sono certo il più indicato a fare previsioni... ma almeno qualche altra riflessione sì.
Dal punto di vista finanziario, Facebook subirà sicuramente dei contraccolpi (oltre all'immediato calo in borsa): per esempio, alcune società hanno già ritirato le loro campagne pubblicitarie.

Inoltre, a brevissimo (il mese prossimo), dovrà adeguarsi al nuovo Regolamento europeo sulla privacy (non è chiaro se ciò sarà esteso anche agli utenti non europei), che impone totale trasparenza sugli utilizzi dei dati, e relativi consensi espliciti. Se tale regolamento fosse applicabile ai fatti in questione, assisteremmo ad un procedimento che probabilmente porterebbe alla sanzione massima possibile, cioè diversi milioni di Euro ed il divieto di proseguire con i trattamenti illeciti. 

Il grosso del problema è però cosa faranno gli utenti. In proposito, non dimentichiamo che negli ultimi mesi si stava comunque verificando un curioso fenomeno, ossia la disaffezione dei giovanissimi, e la loro migrazione verso altri social, come una sorta di fuga dai propri genitori, affluiti anche loro in massa ad iscriversi a Facebook.
Chiudere l'account è sostanzialmente inutile, se non come gesto di protesta; evitare di aprirne uno nuovo, può avere senso. Ci potrebbe essere, almeno da parte degli utenti più attenti e consapevoli, una diminuzione dell'utilizzo del servizio, in particolare riguardo alle applicazioni che spesso rappresentano il mezzo con cui vengono condotte le profilazioni più invasive (tramite quiz o sondaggi, appositamente studiati). Ma non credo che ci sarà una vera fuga, anche perché per molti Facebook rappresenta in massima parte la memoria della propria vita (errore che non esito a definire estremamente stupido). Ancora meno impattate sembrano essere Whatsapp ed Instagram, che inspiegabilmente non sono state toccate dallo scandalo.

In definitiva, mi aspetto che Facebook ne esca ridimensionato sotto diversi punti di vista, ma temo che sopravviva senza eccessivi patemi. Anche perché la memoria umana è corta... in attesa del prossimo scandalo, che, con tutte le differenze del caso, ha già un protagonista designato: Alphabet. Questo nome non vi dice niente? Non vi rovinerò la sorpresa! 😉

AGGIORNAMENTO Luglio 2019
Cosa è successo da un anno a questa parte? Che sono iniziate ad arrivare le sanzioni. Pochi giorni fa, l'Autorità Garante per la Protezione dei Dati Personali ha elevato una sanzione da 1 milione di Euro; infatti, l'illecito era stato scoperto in epoca pre-GDPR e quindi non si applicavano le mega-sanzioni possibili con quest'ultimo. Subito dopo, la Commissione Federale per il Commercio degli USA, che non ha leggi sulla privacy a livello del GDPR (che anzi è visto come il fumo negli occhi), ha comminato una multa da 5 miliardi di dollari! Circa 5000 volte quella italiana!!! Bene, benissimo, direte voi: peccato che subito dopo la notizia il titolo Facebook in borsa sia salito: perché tutti si aspettavano ben di peggio! In definitiva, la mega-multa rappresenta quello che Facebook guadagna in un mese...
State quindi sereni: Facebook (e Whatsapp, e Instagram) per ora non chiudono. Anzi rilanciano: vogliono entrare nel mercato dei pagamenti digitali (Libra). E la voce delle povere Cassandre come me che mettono in guardia dai pericoli che ne derivano, è sovrastata dagli applausi dei soliti entusiasti...

A maggio 2018 "cambia" la normativa privacy

Nel mondo commerciale informatico è periodo di gran fermento perché incombe una scadenza: a maggio prossimo entra in vigore il nuovo Regolamento dell'Unione Europea sulla protezione dei dati personali delle persone fisiche (che contestualmente abroga le normative precedenti degli stati membri), e un po' tutte le aziende devono adeguarsi alle nuove norme. Basta che fate una ricerca per GDPR (l'acronimo che identifica la nuova normativa, anche se ufficialmente è nota come 2016/679) e ve ne renderete conto. E forse vi renderete conto che tra i risultati difficilmente troverete qualcosa che spiega cosa cambia per i cittadini, invece che per le aziende. Poiché anch'io mi sto occupando della faccenda, ed avendo letto tutta la normativa, mi sento intitolato fare un po' il punto della situazione per il punto di vista del popolo.

Diciamo subito che rispetto alla normativa italiana vigente, per il cittadino cambia poco: i principi generali sono gli stessi. Però, avendoli letti, devo dire che, nella teoria, sono piuttosto buoni, nel senso che al privato cittadino sono garantiti diritti e libertà notevoli. In verità eccezioni a questi diritti e libertà non mancano, però mi sento di dire che hanno ragion d'essere: queste eccezioni tutelano gli interessi generali degli stati, la ricerca scientifica e medica, le finalità statistiche e di conservazione storica, le questioni giudiziarie, etc. La novità più rilevante è che la protezione europea si applicherà sostanzialmente anche quando i nostri dati finiscono in realtà fuori dai confini europei (esempi concreti? Google, Facebook, Apple, Microsoft, Instagram, Twitter...  praticamente il 99% dei nostri dati!).

Quindi? Tutto bene? Possiamo stare tranquilli? Beh, no, perché c'è il solito "però".

Il "però" in questione in realtà non è tra le novità, è un principio già presente da parecchi anni, ed è questo: tutte le protezioni della normativa si applicano a meno che non ci sia stato esplicito consenso a che i nostri dati venissero trattati in una data maniera. Per dirla in concreto: se un qualche call center vi perseguita al telefono per offrirvi imperdibili opportunità di risparmio, quasi certamente non sta violando nessuna norma, perché il vostro numero di telefono, insieme al consenso ad essere chiamati alle ore più improbabili, glielo avete dato voi accettando le condizioni (che non avete letto) per scaricare qualche nuova fantastica app o per la tessera punti del supermercato.

Ma poiché non ho scritto questo post per puntarvi il dito contro (ovviamente anch'io non sono senza peccato...), vediamo cosa possiamo fare grazie alla normativa.

In primis, tra i vari diritti riconosciuti agli "interessati" (cioè: i proprietari dei dati personali) c'è quello della revoca del consenso; ovviamente la revoca, e le sue conseguenze (quasi sicuramente la perdita del diritto ad usufruire del servizio), hanno effetto solo dal momento della revoca, in modo non retroattivo.

Poi c'è il cosiddetto "diritto all'oblio", che dovrebbe permettere la cancellazione totale dei dati, sia dal titolare che li ha originariamente acquisiti, ma anche da tutti quelli a cui sono stati trasmessi. Però (daje!) dobbiamo fare i conti con la potenza e quindi l'ingovernabilità del web: pensare di far sparire tutte le le copie esistenti di una foto o un video imbarazzanti è pura utopia. Basta che qualcuno (un privato, non un'azienda) abbia scaricato una copia e poi la riproponga su qualche altro sito, social, o che ne so io... e addio oblio, senza che nessuna autorità possa farci nulla!

C'è anche la "portabilità" dei dati: è un concetto simile a quello per il numero di telefono quando passiamo da un operatore all'altro, in questo caso sembrerebbe voler consentire una roba tipo portare i propri dati da un servizio verso un altro, per esempio potremmo "spostare" una casella di posta elettronica da un provider ad un altro; pensando invece ad un social, sinceramente non capisco proprio come ciò possa accadere, se non altro perché ogni social ha le sue specificità e mal si adatta a prendere in carico dati "pensati" per un altro.
Altra importantissima questione riguarda il trattamento automatico, spesso noto come profilazione, nei casi che questo comporti una significativa conseguenza all'interessato (pensiamo per esempio alla concessione o meno di un prestito, o al calcolo del premio di un'assicurazione): ora (cioè, da maggio) sarà possibile opporsi a questi tipi di trattamento, oppure richiedere l'intervento umano.
Infine, nel caso malaugurato di compromissione dei dati personali, è fatto obbligo al titolare del trattamento di informare l'interessato, che può poi rivolgersi all'autorità giudiziaria per l'eventuale risarcimento del danno (le sanzioni pecuniarie sono state decisamente inasprite: per i casi limite può arrivare a 20 milioni di euro o il 4% del fatturato annuo!).

A parte i diritti, una novità che ritengo importante è come viene rivisto l'obbligo di fornire le informazioni relative al trattamento (la cosiddetta informativa): essa deve essere concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Speriamo che questo obbligo venga veramente rispettato, soprattutto nel suo condivisibilissimo spirito, però è tutto inutile se poi noi non facciamo la nostra parte: l'informativa va letta, capita e sulla base di essa dobbiamo effettuare la scelta libera e consapevole se concedere o no il nostro consenso, che è quello che lascia mano libera al titolare di fare tutto quello che vuole (basta che l'abbia scritto). Ci saranno, è inevitabile, delle informative che ci porranno davanti ad una sorta di ricatto: o il consenso, oppure niente servizio. Essere cittadini consapevoli e liberi significa avere il coraggio di saper dire No.
L'informativa deve anche contenere i contatti del titolare del trattamento (e, ove nominato, del responsabile della protezione) a cui è possibile fare le richieste riguardanti tutti i propri diritti.

Infine, voglio spendere 2 parole per la protezione di dati dei minori. Il regolamento prevede che il consenso sia valido a partire dai 16 anni; sotto questo limite, è necessario il consenso dei genitori. Ricordo anche che normalmente l'iscrizione ai social network, a parte quelli specificatamente dedicati ai bambini, è possibile solo a partire dai 13 anni, ma sento dire da più parti che questa regola (di buon senso, prima che formale) è deliberatamente ignorata da alcuni genitori.
A questo proposito, anche se usciamo dall'ambito del Regolamento in quanto siamo nell'ambito della vita privata, segnalo questa recente sentenza sul fatto che le foto dei figli possono essere pubblicate solo se entrambi i genitori sono d'accordo. Il che a maggior ragione contrasta con il diffuso malcostume di pubblicare foto che ritraggono anche figli di altri, senza chiedere nessun permesso. Non è inutile sottolineare che l'analfabetismo digitale è un problema soprattutto per gli adulti che hanno responsabilità educative!

Per chi volesse approfondire gli argomenti relativi alla privacy, segnalo il sito dell'Autorità Garante italiana, che trovo ottimo dal punto di vista dei contenuti (magari è un po' vintage nell'aspetto...).

Tracciamento delle ricerche: breve storia triste

Da un po' di tempo, più di un anno, passando in una strada di un quartiere costruito nell'arco degli ultimi 5/6 anni, noto che alcune villette sono in vendita da parte del costruttore. Per pura curiosità (non ho nessun motivo di comprarne una) ho deciso di vedere se riuscivo a capirne il costo , per vedere se la difficoltà a vendere poteva aver fatto scendere il prezzo, in rapporto alla media del quartiere in questione.

Nel farlo, ho deciso di fare una prova: invece di affidarmi al motore di ricerca predefinito, cioè Google (anche perché avevo aperta la posta, quindi qualsiasi ricerca avessi fatto sarebbe finita nella fantastica cronologia del mio profilo che Google, con tanto affetto, tiene "per me"...), ho provato ad utilizzare un altro motore di ricerca, ossia DuckDuckGo, che promette (e non mi risulta che sia una fandonia) di non tracciare la ricerche.

Indovinate un po'? Oggi, utilizzando lo stesso browser, prima di aver fatto accesso a qualsivoglia servizio, su un banalissimo sito di notizie (ma pieno di annunci Adwords) mi ritrovo offerte di case di quel quartiere e zone limitrofe.

Morale: utilizzare un motore di ricerca diverso non è bastato, la prossima vola mi premurerò di utilizzare anche un browser diverso, nel quale magari avrò modificato le policy dei coockies per farli eliminare alla fine di ogni sessione. Vi farò sapere.