SOCIETY | 8 Mag 2018

Cambridge Analytica e Big Data: a che punto siamo?

Alcune riflessioni nel post scandalo del colosso della Data Analytics e del Political Consulting

We have a responsibility to protect your data,
and if we can’t then we don’t deserve to serve you
”.

 

Questo testo è riportato in evidenza sulla newsroom di Facebook relativamente al caso Cambridge Analytica prima dei vari aggiornamenti che si sono susseguiti nel tempo. Ma riassume esattamente un duplice concetto. Se da un lato le piattaforme sulle quali pubblichiamo le nostre informazioni devono garantire che tali informazioni siano disponibili solo a chi è legittimato da noi a farlo, dall’altro lato dobbiamo leggere questa frase con il significato che prima di tutto siamo noi stessi che abbiamo la responsabilità di proteggere le informazioni che ci riguardano, facendo molta attenzione a dove le pubblichiamo e conoscendo bene le norme dei vari servizi. Se non osserviamo scrupolosamente il secondo aspetto, inevitabilmente una falla nel sistema di gestione delle informazioni di un’applicazione, metterà maggiormente a rischio la nostra privacy.

Il caso Cambridge Analytica, scoppiato poco più di un mese fa, ha portato alla luce problematiche di carattere legale, politico e addirittura militare sull’utilizzo dei dati che condividiamo in rete e in generale sui Big Data. Addirittura il Garante della Privacy già il 20 marzo in un’intervista al giornale Il Mattino dichiarava sul caso: “Con il potere informativo che converge verso un solo destinatario”, cioè verso le media company come Facebook, “si sta creando una nuova geografia dei poteri, che tende a cambiare la natura delle democrazie moderne”. La questione è complessa, procediamo per gradi.

Il caso Cambridge Analytica

È da molti conosciuta solo per il caso Trump. Ma ben pochi conoscono i suoi reali obiettivi. Che cos’è realmente? E perché Facebook ha bloccato in modo così violento l’accesso ai suoi dati da parte di questa società? Ha realmente violato i termini d’uso e di servizio del social?

Il colosso della Data Analytics e del Political Consulting, riconosciuta da tutti con il nome di Cambridge Analytica, non è altro che un progetto di ricerca che riguarda un settore della scienza ben specifico, la Psicometria. Attività questa che, se presenta profili di dubbia liceità, non è però l’unico caso di profilazione per fini politici e commerciali. Sono infatti moltissime le società che si occupano di questa attività in giro per il mondo, a causa del crescere dei Big Data.

La Psicometria è una scienza molto complessa, cerca di individuare metodi per comprendere e misurare le attitudini degli esseri umani, gli stili di vita, i desideri, i gusti, … (che possiamo definire come “profilo psicografico”) attraverso una serie di tematiche basate su domande e su argomenti apparentemente banali e non collegati fra di loro, ma che alla fine, produrranno dei risultati in grado di ricondurre alle reali intenzioni delle singole persone sotto esame. Cambridge Analytica, proprio grazie a questa scienza e ai particolari algoritmi adottati (con un margine d’errore vicino allo zero) è riuscita a indicizzare 300 mila utenti con tutta la loro catena di contatti arrivando a elaborare il profilo di quasi 50 milioni di elettori, raccogliendo una serie impressionante di loro abitudini, attitudini e propensioni, da rivendere agli interessati. È stato uno degli strumenti principali nella campagna di Trump proprio perché attraverso gli elementi forniti da questa società il nuovo presidente d’America è riuscito a ricreare delle micro-segmentazioni estremante precise tra i bacini di votanti, per poi studiarle. A quel punto è riuscito, attraverso l’utilizzo di banner, messaggi pubblicitari, slogan, a indirizzare gli orientamenti dei votanti verso obiettivi a lui congeniali. Non solo, sembra che Cambridge Analytica sia arrivata anche a leggere in modo fraudolento il profilo della persona con tutti i rispettivi like, commenti ai post e altro, riuscendo a incamerare un database con una serie impressionante di elementi psicografici.

Molti utenti, non comprendendo la gravità della situazione, pensano che non vi sia nulla di male in quello che ha fatto Cambridge Analytica, perché questi dati sono anche, in primis, sul profilo di Facebook. Il problema però non riguarda l’acquisizione di questi dati ma l’utilizzo che se ne voglia fare. Se Facebook li raccoglie con una certa finalità, ma soprattutto gli utenti li forniscono per un determinato scopo, non è corretto che tramite le applicazioni legate al social e a seguito della vendita dei dati raccolti, l’utilizzo che ne viene fatto sia difforme dalla volontà degli utenti. Si tratta di una palese violazione dei termini d’utilizzo, lo stesso social protegge e vincola determinati tipi di dati nell’utilizzo e nella vendita presso varie aziende.

L’utilizzo dei Big Data a fini di profilazione per svariati motivi non è cosa recente

Come non lo è nemmeno la vendita dei nostri dati. Come accennavo all’inizio sono molte le società che si occupano di questo. Ma perché allora proprio ora ha fatto tanto scalpore Cambridge Analytica? Il bubbone è scoppiato, credibilmente, per il fatto che questa ha utilizzato i dati degli utenti con finalità politiche. Certamente Cambridge Analytica ha rappresentato a tutti gli effetti un vantaggio competitivo enorme e un punto di discrasia nella storia. Non sarà più possibile, infatti, pensare a una strategia di campagna elettorale che non abbia a che fare con questo tipo di micro segmentazioni e strategie atte a influenzare gli elettori e andando prima ad analizzarli. Non sembra un caso che in un video su Youtube pubblicato nel 2016 (e mai smentito) il CEO di Cambridge Analytica di quegli anni, Alexander Nix, affermava di poter personalizzare i messaggi elettorali grazie ai profili psicografici.

Un altro lato importante del caso Cambridge Analytica è quello militare. È inevitabile che laddove ci siano grandi quantità di dati inerenti le persone, ma soprattutto le loro convinzioni, i loro comportamenti e le loro abitudini, attraverso social network e blog, gli ambienti militari possano esserne attratti per sperimentare tecniche di manipolazione delle azioni umane e nuove tecniche di attacco e difesa. In un articolo su “OpenDemocracyUK” dal titolo “Cambridge Analytica è ciò che accade quando si privatizza la propaganda militare” viene spiegato come la propaganda militare sia cambiata con la tecnologia e come per capire Cambridge Analytica occorra capire cosa fa la casa madre. In effetti la mamma di Cambridge Analytica si chiama “Strategic Communication Laboratories Defence (SCL)”, un’azienda che si occupa di attività per la difesa americana. Secondo varie fonti sembra che tra le varie attività della SCL ci fossero massicce operazioni di acquisizione di dati qualitativi e anche le campagne di disinformazione militare e targettizzazione dei votanti soprattutto nei paesi di sviluppo. Tra i committenti c’erano Governi, gruppi politici e aziende. Un interessante articolo de Il Manifesto spiega nel dettaglio l’aspetto militare di Cambridge Analitica che definisce come il “braccio operativo civile di un contractor militare americano”.

È notizia recentissima, pubblicata mercoledì 2 maggio 2018 dal “The Wall Street Journal” e confermata poi da Nigel Oakes, il fondatore di SCL, che la bufera mediatica e il danno di immagine che ha coinvolto Cambridge Analytica, con la fuga dei clienti e le notevoli spese legali di risarcimento che giungono da tantissime parti e a cui la società dovrebbe far fronte, hanno portato la stessa a comunicare la cessazione dell’attività e l’avvio delle procedure di bancarotta in Gran Bretagna e negli Stati Uniti. A seguito di questa notizia moltissimi sono insorti temendo che si tratti di un sistema per scappare dalle vicende giudiziarie e far sparire i dati “scomodi”. Ma le autorità hanno garantito che continueranno a indagare sui fatti perpetrati da Cambridge Analytica e sui fatti di eventuali società che a questa seguiranno, si crede infatti che questa voglia “riciclarsi” con un altro nome. Hanno inoltre ordinato alla stessa di conservare tutti i dati inerenti la vicenda.

Anche il presidente della Commissione Parlamentare Inglese che sta indagando sul caso, Damian Collins, si è espresso sulla vicenda, dichiarando che con la bancarotta Cambridge Analytica e SCL Group non potranno essere autorizzati a cancellare i dati, tanto importanti per le indagini in corso.

Dal canto suo la diretta interessata si è però sempre dichiarata innocente. In un comunicato di addio la stessa Cambridge Analytica ha infatti scritto di non aver agito illegalmente e che l’attività sotto la lente d’ingrandimento non solo è legale ma è ampiamente accettata come componente standard della pubblicità online. Piuttosto è la società stessa che è stata denigrata e accusata ingiustamente.

La reazione di Facebook

Mark Zuckerberg, CEO di Facebook, ammette le sue colpe. Prende ufficialmente posizione sulla vicenda che ha visto coinvolta la società di Data Analytics e lo fa, come di consueto in situazioni come queste, con un lungo post pubblicato sulla sua pagina Facebook e nella Newsroom. “Non abbiamo fatto abbastanza per impedire che questi strumenti venissero utilizzati in modo dannoso. Non abbiamo affrontato in modo sufficiente le nostre responsabilità ed è stato un grosso errore”, ribadirà Zuckerberg circa la violazione della privacy di cui si assume in toto la responsabilità e che già gli è costata svariati miliardi di dollari con il primo crollo di borsa.

Inoltre, ha aggiunto, “lavoreremo con la britannica ICO (Information Commissioner’s Office) per chiedere all’università di Cambridge informazioni in merito allo sviluppo delle applicazioni da parte del suo centro psicometrico, dato il caso e l’abuso da parte di Aleksandr Kogan”, il ricercatore russo della stessa università che ha collezionato milioni di profili Facebook.

A seguito poi delle due audizioni che ha avuto al Congresso, prive di sanzioni ma che invece già alla fine della prima gli hanno regalato la migliore giornata degli ultimi due anni in borsa, con un rialzo del titolo di Facebook del 4,5%, possiamo ben sperare che il Congresso abbia recepito la necessità di adottare nuove leggi per regolamentare queste delicate materie.

Le regole mancanti

Zuckerberg ha ammesso, infatti, che nel momento attuale “è fondamentale dare delle regole” all’economia di Internet, e all’uso dei dati personali, apprezzando apertamente il GDPR dell’Ue e annunciando che sarà punto di riferimento per tutto il mondo. “Quello che apprezzo del GDPR”, ha detto Zuckerberg, è che “consente agli utenti di avere sempre il controllo dei dati che condividono con le aziende, capire cosa viene fatto con quei dati ed eventualmente poterli cancellare. Ci sarà anche una regolamentazione speciale per quello che riguarda la tecnologia del riconoscimento facciale degli utenti”.

Così il 21 marzo 2018 ha comunicato di aver implementato 6 regole per proteggere le informazioni dei suoi utenti ed evitare il ripetersi di quanto accaduto con Cambridge Analytica:

1) Review della piattaforma. Zuckerberg ammette che non è solo Cambridge Analytica ad aver avuto accesso ai profili degli utenti. Dovrà controllare tutte le grandi aziende che collaborano con Facebook, e le singole applicazioni, per capire quali dati posseggono attualmente e nel caso chiedere di cancellarli. Parliamo di migliaia di applicazioni con altrettanti server coinvolti. Le aziende che abusano delle informazioni, si impegna Zuckerberg, saranno escluse dalla piattaforma.

2) Informare gli utenti sull’utilizzo scorretto dei loro dati nel caso siano stati vittime di un illecito. Inoltre il CEO di Facebook si impegna, qualora venga rimossa un’applicazione a causa di un uso improprio dei dati, a informare tutti gli utenti che l’hanno utilizzata.

3) Disattivare l’accesso ai dati dell’utente alle applicazioni che non vengono utilizzate da questo per tre mesi di fila.

4) Limitare i dati di accesso (Login). Dalla prossima versione del Social tutte le informazioni che un’applicazione chiede per accedere al profilo social dell’utente saranno limitate a nome cognome ed email. Per ogni altra informazione sarà necessaria l’autorizzazione di Facebook. Questo sarà importantissimo per limitare l’accesso ai dati da parte di applicazioni particolari quali i quiz, che chiedono un gran numero di dati.

5) Incoraggiare a gestire meglio le applicazioni e migliorare il sistema di autorizzazioni. Facebook punterà a migliorare costantemente il fatto di far capire agli utenti a quali applicazioni sono collegati i loro account e quali autorizzazioni sono state date.

6) Premiare chi trova vulnerabilità. Verrà implementato il programma di segnalazione di bug di Facebook in modo che gli utenti possano segnalare anche se trovano degli abusi di dati da parte degli sviluppatori delle applicazioni.

L’inizio di una nuova era per la protezione dei dati

“Questo è l’inizio di una nuova era per la protezione dei dati. Una delle priorità fondamentali sarà tutelare le persone da ogni utilizzo illecito dei loro dati personali sulle piattaforme dei social media. Molto semplicemente, una piattaforma che fattura miliardi di dollari non può cavarsela con un mi dispiace”. Questo è quanto ha affermato Andrea Jelinek, la Presidente del WP29, il Gruppo di Lavoro “Articolo 29” che riunisce le autorità europee per la protezione dei dati, in occasione della notizia della creazione di un Gruppo di lavoro sui social media allo scopo di definire in questo ambito una strategia di lungo periodo.

Sul sito del nostro Garante per la protezione dei dati personali sono elencate una serie di notizie interessanti sul Caso di Cambridge Analytica dal 20 marzo al 21 aprile 2018.

I nostri dati sono stati venduti a Cambridge Analytica?

A sentire Zuckerberg anche i suoi dati sono stati condivisi con la società di Data Analytics e Political Consulting. Ha risposto infatti cosi durante l’audizione al Senato del giorno 11 aprile scorso, a una domanda diretta postagli da una deputata democratica. In ogni caso per sapere se anche le nostre informazioni sono state condivise con Cambridge Analytica basta cliccare su questo link dopo essersi autenticati sul social network.

In conclusione?

Per Cambridge Analityca non possiamo parlare di scandalo. I dati dei profili di milioni di utenti non sono stati rubati ma sono stati utilizzati in modo inappropriato. Tutti i giorni migliaia di società raccolgono i dati degli utenti Facebook con applicazioni più o meno lecite e in modo più o meno legittimo, spesso purtroppo autorizzate dagli stessi utenti. Quello che sta avvenendo però, ulteriormente e pericoloso, è un utilizzo politico e militare dei dati, per manipolare la democrazia e condizionare il sapere e l’agire delle persone.

Al giorno d’oggi quindi, in una situazione di profilazione globale, che avviene in ogni settore della società, diventa sempre più importante per gli utenti della rete utilizzare con consapevolezza il web. L’uso consapevole della tecnologia è un argomento che sta a cuore agli esperti di Cyber Security ma tale argomento non deve essere un know-how solo di questi: è necessario che tale sensibilità sia portata a tutti i livelli della società e sempre più utenti della rete siano utenti consapevoli oltre che delle opportunità, soprattutto dei rischi che questa presenta.


Antonio Sagliocca