La rilevanza dello scandalo Cambridge Analytica – 87 milioni di profili personali basati su dati presi da Facebook e utilizzati per messaggi diretti durante la campagna elettorale di Trump senza un consenso esplicito da parte degli utenti – trova conferma in questi giorni con la notizia del fallimento della società inglese, presa d’assedio da inchieste, costi legali, fuga dei clienti.

Nel frattempo Mark Zuckerberg, CEO e fondatore di Facebook, dopo una veloce ammenda (in audizione al Congresso USA) sulle pratiche seguite internamente dalla piattaforma social, sfoggiando grande tranquillità sui temi della sicurezza e della privacy, ha lanciato il suo servizio di online dating.

(Fonte: CNNtech, May 3, 2018)

Cosa ha ammesso Zuckerberg al Congresso: le colpe di Facebook

Dovremo ricordarci nei prossimi mesi, prima che tutta la vicenda passi al dimenticatoio, che Zuckerberg, in occasione del suo intervento lo scorso 10 e 11 aprile, ha ammesso che la violazione sui termini di uso dei dati (si è trattato di questo, in effetti, non di un data breach) è stata “un errore che non dovrà ripetersi in futuro”. In particolare, ha dichiarato che:

• Facebook era a conoscenza che l’App utilizzata nel 2013 da Aleksandr Kogan (ricercatore dell’Università di Cambridge) riceveva anche dati sugli “amici dei registrati alla App” senza che quest’ultimi avessero fornito il loro consenso. Le modifiche alla piattaforma per limitare questi accessi alle App sono state apportate da Facebook solo nel 2014, quindi troppo tardi per porvi rimedio.
• Successivamente, nel 2015 Facebook era stata di nuovo a conoscenza del fatto che Kogan aveva condiviso tutte queste informazioni con Cambridge Analytica, ma la reazione di Facebook in questa occasione è stata di bandire l’App dalla propria piattaforma e di richiedere che i dati venissero cancellati (in realtà la società inglese non avrebbe cancellato i dati, e ora l’ICO UK sta indagando su questo aspetto).

Chiudere la stalla dopo che sono scappati i buoi

Sempre in occasione dell’audizione, Mark Zuckerberg si è speso personalmente su una serie di misure che  Facebook sta prendendo a difesa dei dati dei suoi utenti:

• Se una App non è usata per 3 mesi consecutivi, Facebook interviene rimuovendo l’accesso dell’App ai dati degli utenti che l’hanno scaricata.
• Agli sviluppatori di App è richiesta la firma di un contratto che li vincola a requisiti più rigorosi nel trattamento dei dati (prima non c’era nessun contratto?).
• Sarà limitato sia il numero di dati personali resi accessibili alle App, sia anche la possibilità di condividere informazioni di altre persone (come Post) all’interno di App come gruppi ed eventi. Una mossa questa che però fa sorridere, perché va contro un meccanismo fondamentale su cui si basa il social network, ossia, condividere il più possibile e allargare così la circolazione delle informazioni sfruttando la natura stessa della rete sociale.
• È stata avviata una procedura di indagine su tutte le App che fino al 2014 hanno avuto la possibilità di accedere a grandi moli di informazioni, dichiarando che nel caso si individuino situazioni sospette, saranno avvisati gli interessati.
• Sono stati avviati controlli maggiori (per permettere a ogni singolo utente di conoscere in ogni momento quali App hanno accesso e come alle sue informazioni), e infine sono stati avvisati tutti gli utenti coinvolti nello scandalo Cambridge Analytica.

Interferenze russe nelle elezioni

Zuckerberg non si è tirato indietro nell’ammettere che effettivamente c’è stata una propaganda russa su Facebook durante le ultime elezioni americane del 2016. I numeri e l’impatto non sono trascurabili: 470 account fasulli riconducibili all’IRA (Internet Research Agency, agenzia russa già nota per precedenti azioni in vari paesi, lo scorso febbraio è stata anche incriminata proprio per le interferenze russe, insieme ad altri, dal procuratore speciale statunitense Robert Mueller). Gli account dell’IRA su Facebook avrebbero generato 80.000 post in 2 anni, raggiungendo 126 milioni di persone (anche su Instagram, in questo caso con 120.000 contenuti e 20 milioni di persone “colpite” dalla campagna online).  A questo va aggiunto un impegno in promozioni acquistate dall’IRA, pari a 3.000 annunci su Facebook e Instagram durante lo stesso periodo (un investimento pari a 100.000 dollari) visti complessivamente da 11 milioni di persone negli USA.

Il problema è che – nonostante Facebook dichiari di avere uno staff dedicato al controllo dei contenuti che girano sul network – gli account dell’IRA sono stati chiusi soltanto nell’agosto 2017, dimostrando quindi una bassa capacità di risposta (le prime notizie sulle possibili ingerenze russe risalgono a fine 2016, praticamente 1 mese dopo le elezioni nel novembre 2016).

Bastano le scuse di Facebook?

L’impressione che si ha oggi, superato l’evento mediatico della testimonianza del fondatore di Facebook, è che su una materia estremamente importante, legata sia alla libertà di singoli individui sia anche al corretto funzionamento delle moderne democrazie, si è fatta molta confusione e non sono state comprese bene le conseguenze reali dei fatti avvenuti.

Mark Zuckerberg ha pensato di non perdere l’occasione per farsi un po’ di pubblicità, per sottolineare che ci saranno nuove misure di sicurezza e privacy, così tutti potremo pubblicare le nostre foto su Facebook in perfetta riservatezza … (!). Inoltre, come è giusto che sia, il social network si sta muovendo verso la compliance al GDPR, ma attenzione, solo per gli europei: i dati di tutti gli altri, 1,5 miliardi di utenti, sono stati prontamente spostati dai server in Irlanda a quelli in California.

Questo perché il GDPR, a partire dal prossimo 25 maggio, richiede informative trasparenti (Facebook ha in realtà già cominciato a inviare pop up e messaggi a tutti gli utenti europei per ottenere il loro consenso, anche per l’invio di dati a App e siti di terzi), misure di sicurezza, notifiche entro 72 ore in caso di data breach, sanzioni piuttosto alte, e quindi avrà un impatto non indifferente nei prossimi anni – meglio limitarlo ai soli utenti europei (circa 400 milioni).

“Con il lancio del GDPR diminuiranno utenti e ricavi in Europa perché le persone hanno iniziano a proteggere i loro account per impedire così tanta pubblicità mirata” ha dichiarato di recente David Wehner, Direttore Finanziario di Facebook.

In attesa di conoscere gli ulteriori sviluppi (intanto, Facebook continua a riportare risultati in crescita, Cambridge Analytica porta i libri in tribunale, Google aggiorna le sue policy e richiede alle terze parti la compliance alle nuove norme, e Twitter confessa di aver anch’essa venduto dati pubblici dei suoi utenti alla società di Kogan), sembra tutto sommato che il nuovo regolamento GDPR stia effettivamente svolgendo un compito utile.

Non tanto nell’imporre la privacy ovunque (tutto sommato, chi la vuole veramente su Facebook?), ma piuttosto nel sottolineare che:

1. I dati personali sono di proprietà delle persone, non di chi li raccoglie e rielabora.
2. Qualsiasi attività di profilazione si voglia fare, deve basarsi su un consenso informato, e sulla possibilità per gli utenti, sempre più presi di mira da pubblicità e Adv, di negarlo in qualsiasi momento.