L’Europa apre un’indagine su Facebook. Vuole vederci chiaro su come i dati di mezzo miliardo di utenti del social, e della quasi totalità di iscritti italiani, numeri di cellulare inclusi, siano finiti alla mercè di chiunque, in un “mega leak” che ora galleggia in rete. Il tutto all’insaputa sia degli utenti sia delle autorità. Ad aprire l’inchiesta è il garante per la privacy irlandese, che nel consesso delle authority europee in questo caso è il capofila perché l’Irlanda è la sede legale europea di Facebook. Dopo lo scandalo Cambridge Analytica, Mark Zuckerberg è andato in pellegrinaggio davanti al parlamento europeo, a quello britannico e al Congresso americano. Ha pronunciato parole di scuse, ha promesso «responsabilità» e «trasparenza». Ma le promesse non bastano e ora Dublino manda a dire all’azienda: «Siamo dell’opinione che le disposizioni europee sulla privacy potrebbero essere state violate». Anzi, di più: «Potrebbero essere tuttora violate». Facebook ha provato a relegare il caso a una vecchia storia, ma il garante non ci sta.

Il caso

Alon Gal vive in Israele e lavora per Hudson Rock, compagnia che si occupa di sicurezza informatica. Ha un blog, Under the breach: la breach è la breccia, e cioè quella falla oppure violazione di un sistema informatico che dà luogo a divulgazione indebita di dati. Il 3 aprile Gal pubblica un tweet. Dice che i dati di 533 milioni di profili Facebook sono stati divulgati e sono ora disponibili liberamente ma pure gratuitamente. I dati erano già finiti a disposizione in rete, ma prima erano oggetto di compravendita; la notizia arriva in superficie solo quando ormai il pacchetto di dati, per il mercato nero, è talmente noto da valere poco o nulla (tra i 100 e 200 euro). Gal a quel punto lancia l’allerta: «Se avete un profilo Facebook, è estremamente probabile che il numero di telefono che avete registrato nel vostro account sia stato reso pubblico». Con gli screenshot mostra alcuni esempi, si vede il nome dell’iscritto al social, la località, a volte il luogo di lavoro e la situazione sentimentale. Se ti chiami D., lavori a Pizza Domino in quella certa cittadina dell’Alabama, sappi che tutti vedono che sei single ed è sbucato fuori pure il tuo cellulare oltre che la tua email. Di A., che vive in Guatemala, sappiamo anche se crede in Dio e se è praticante: religione cattolica per l’esattezza.

Rischi concreti

Non c’è bisogno di andare in altri continenti, nel set di dati sono finiti anche molti Anna o Mario: dopo l’Egitto con 45 milioni di utenti colpiti, e prima degli Usa con 32 milioni, c’è l’Italia. Nel caso degli italiani, uno su due si è trovato con i dati diffusi in rete: la fuoriuscita coinvolge circa 36 milioni di connazionali. Se il dato è rapportato all’ampiezza della popolazione, siamo il paese più colpito. Se poi consideriamo non la popolazione ma la fetta iscritta a Facebook, che nel 2020 – dati Agcom – era di circa 36 milioni, la probabilità di essere finiti nel database sfiora la certezza. Tra i profili di italiani colpiti, 34 milioni sono anche associati a un cellulare, dice la nostra authority, che considera quei dati ormai fuori controllo e avverte: chiunque li utilizzi compie un atto illecito. Potrebbero finire utilizzati per qualsiasi scopo, dal brokeraggio a fini commerciali all’ingegneria sociale per finalità politiche. Il numero di cellulare serve per i sistemi di autenticazione a doppio fattore, per operazioni bancarie: tra i rischi c’è quello che qualcuno cloni la nostra sim (“sim swapping”) e svuoti il conto; un possibile segnale che ciò sta avvenendo lo si ha quando senza motivo il nostro telefono non ha campo. Alla domanda se sia possibile ipotizzare la richiesta di un risarcimento a Facebook, la risposta del garante è che qualsiasi ipotesi di questo tipo presuppone che prima siano state accertate le responsabilità. Proprio questo è il terreno di indagine (e di scontro).

Il ruolo di Facebook

L’azienda parla di “scraping”, e cioè di dati messi a disposizione dagli utenti sul social in chiaro, già pubblici, che vengono poi raccolti e sfruttati da malintenzionati. Se i dati sono già palesi, non si tratta di “breccia”, né la responsabilità è dell’azienda, è la tesi. Ma a Dublino vogliono vederci chiaro: sono arrivati svariati reclami di persone che testimoniano di non aver mai reso disponibile il cellulare. Davvero la matassa di dati era tutta pubblica? Graham X. Doyle, dell’authority irlandese, dice: «Vogliamo verificare se Facebook ha rispettato gli obblighi sul modo in cui sono processati i dati degli utenti con Facebook Search, Facebook Messenger Contact Importer e Instagram Contact Importer»; funzioni per importare i contatti. L’azienda dice che i dati raccolti nel leak sono una miscellanea di diversi set di dati, alcuni già venuti a galla anni fa, e comunque estratti prima di settembre 2019: «Attori malevoli sfruttavano il nostro sistema per importare contatti, quando lo abbiamo capito lo abbiamo modificato». Il regolamento Ue per la privacy in vigore dal 2018 impone sia di garantire la messa in sicurezza dei dati, sia di notificare la violazione subita, non importa se una falla o un attacco di cui l'azienda è vittima. Ma né l’authority né gli interessati sono stati informati, Dublino nota pure che «dopo che il caso è esploso, abbiamo dovuto contattare noi Facebook». Se non adempie alle regole rischia fino al 4 per cento del fatturato globale annuo. Se emerge una responsabilità, gli utenti che hanno subito danni possono chiedere risarcimenti. Facebook dice che quei dati erano già pubblici, ma Dublino non ne è convinta. Il giurista Guido Scorza dell’authority italiana aggiunge che «ammettiamo che gli utenti avessero già reso pubblici i dati, se vengono trafugati in massa vuol dire che qualcuno si approfitta di una interfaccia dell’azienda per succhiare milioni di dati». Per Scorza anche lo “scraping” è “breach”. Stefano Rossetti, avvocato esperto di privacy, dice: «Pare sia mancata la consapevolezza degli utenti in relazione alla disponibilità del proprio cellulare a un pubblico indistinto». Se pure i dati erano pubblici – cosa di cui Dublino dubita – gli utenti ne erano consapevoli?

© Riproduzione riservata