Chi compra i nostri dati

Il Wall Street Journal racconta il business dei dati personali online, e i rischi per la nostra privacy

di Elena Favilli

La questione della privacy è uno degli aspetti più controversi e complessi tra quelli legati ai cambiamenti di internet. L’anno scorso negli Stati Uniti era uscito un libro che si chiamava The Numerati (tradotto in Italia a marzo da Mondadori con il titolo “Il potere segreto dei matematici“) e che affrontava questo problema da un punto di vista molto particolare e interessante: quello delle persone che di mestiere ogni giorno setacciano la rete a caccia di dati personali da vendere alle aziende.

I “Signori dei Numeri”, spiegava Baker, studiano ogni nostra mossa: scompongono i nostri acquisti per capire se risparmiamo, se siamo a dieta o se stiamo pensando di comprare una casa. Rovistano tra email e tabulati telefonici per tracciare i nostri spostamenti, ricostruire le nostre relazioni, individuare i valori su cui si potrebbero orientare le nostre prossime scelte elettorali. Sono una nuova intellighenzia matematica, che analizza il nostro comportamento come lavoratori, consumatori, elettori, pazienti, amanti.

Oggi il Wall Street Journal dedica un lungo articolo all’argomento, partendo da un episodio abbastanza spiacevole capitato agli utenti di PatientsLikeMe: una comunità online in cui ciascuno – dopo avere registrato il proprio account – partecipa alle discussioni in corso sui temi legati alla salute, spesso raccontando nei dettagli le proprie esperienze personali.

Era l’una del pomeriggio del sette maggio quando il sito ha iniziato a notare delle attività sospette in una delle discussioni in corso. Si erano accorti che le persone avevano iniziato a scambiarsi racconti estremamente personali legati ai loro disturbi mentali. Alcuni parlavano dei loro problemi di bipolarismo, alcuni addirittura delle loro sindromi più gravi di autolesionismo. Si trattava chiaramente di un’intrusione dall’esterno. Un nuovo membro del sito, usando un software particolarmente sofisticato, stava rastrellando e copiando ogni singolo messaggio dai forum privati di PatientsLikeMe.

Dopo averlo bloccato, PatientsLikeMe è riuscito a risalire all’identità dell’utente e ha scoperto che dietro al suo nickname si nascondeva Nielsen Co., uno degli istituti di ricerca privati più grossi del mondo. Una delle attività principali di Nielsen consiste nel monitorare le attività online di utenti che abbiano un profilo interessante per i propri clienti, tra cui anche alcune aziende farmaceutiche.

Il mercato dei dati personali è in continua espansione, spiega il Wall Street Journal, e sempre più aziende offrono tra i loro servizi quello di monitorare le conversazioni online e raccogliere informazioni riservate lasciate su social network, forum e negozi virtuali. Secondo l’istituto di ricerca Winterberry Group LLC, l’anno scorso negli Stati Uniti si sono spesi 410 milioni di dollari per ricerche di questo tipo – dette anche scraping: il verbo to scrape in inglese vuol dire appunto racimolare – per quest’anno la cifra potrebbe essere addirittura di 840 milioni.

Alcune di queste aziende raccolgono informazioni come email, numeri di telefono e fotografie per costruire profili dettagliati dei singoli individui. Altri offrono quello che viene definito “listening service”: il monitoraggio in tempo reale di centinaia di migliaia di fonti di notizie, di blog e di siti web, per vedere che cosa le persone stanno dicendo rispetto a determinati argomenti. Uno di questi servizi è offerto anche da Dow Jones & Co., l’editore del Wall Street Journal. Dow Jones raccoglie dati dal web – che possono anche includere informazioni personali contenute all’interno di articoli e post di blog – per aiutare i clienti a monitorare come sono rappresentati nei media. Ufficialmente non raccoglie informazioni associate a siti protetti da password. Lo stesso PatientsLikeMe vende informazioni collegate ai suoi utenti, ma lo fa in forma anonima.

Il problema, continua il WSJ, è che questi signori dei numeri operano in una zona grigia della legalità. Le leggi sulla raccolta di dati personali variano a seconda degli stati e negli Stati Uniti finora le sentenze della Corte Costituzionali sono state spesso contraddittorie. «Lo scraping ormai avviene ovunque, ma questo non vuol dire che non possa essere messo in discussione», spiega Eric Goldman, professore di legge alla Santa Clara University, «tutti lo fanno, ma non è totalmente chiaro che chiunque possa farlo senza permesso». Le aziende si difendono dicendo che quello che fanno non è molto diverso da quello che può fare chiunque cercando informazioni online. L’unica differenza è che loro lo fanno su vasta scala, dicono: «Prendiamo una quantità incredibilmente alta di informazioni e la trasformiamo in qualcosa di intelligente», ha detto al WSJ Chase McMichael, capo della InfiniGraph, un’azienda di base a Palo Alto, California, che offre listening services alle aziende interessate a capire i gusti dei loro consumatori.


I prezzi variano soprattutto a seconda della notorietà dell’azienda che fornisce il servizio. Le più piccole chiedono poche centinaia di dollari per setacciare migliaia di pagine, quelle famose invece possono arrivare anche a centinaia di migliaia di dollari per monitoraggio e analisi di un set di discussioni online. Screen-scraper per esempio ha base in Utah e per le sue consulenze difficilmente chiede più di diecimila dollari. Tra i suoi servizi più recenti c’è stato quello di individuare per una compagnia di assicurazione i nomi degli agenti che lavorano per un’agenzia concorrente, ma anche quello di risalire agli indirizzi email degli utenti – e dei loro amici – che avevano schiacciato il pulsante “mi piace” sulla pagina Facebook di una certa azienda.

Poi ci sono i professionisti del furto delle informazioni: una volta individuato il sito che interessa, si cerca di raccogliere il maggior numero possibile di informazioni nel minor tempo possibile per evitare di essere beccati. Si tratta di attacchi così diffusi che per contrastarli sono nate aziende specializzate in servizi di anti-scraping, come la Sentor Anti Scraping System di Stoccolma. Da Monster, per esempio, il sito che tiene in archivio decine di milioni di curricula, dicono che l’anti-scraping ormai per loro è diventata un’attività a tempo pieno.

La questione ovviamente si complica ancora di più quando si tratta di siti come PatientsLikeMe in cui gli utenti condividono esperienze legate a malattie come AIDS, depressione, trapianto di organi, autolesionismo o disturbi post traumatici da stress. «Era un’abitudine che abbiamo ereditato dal passato ma non lo faremo più», ha detto Dave Hudson, che da giugno è diventato chief executive del team Nielsen che a maggio si era infiltrato nel sito, «abbiamo deciso che è qualcosa di inaccettabile e abbiamo smesso di farlo».

L’unità di Nielsen che si occupa del monitoraggio online si chiama Nielsen Buzz Metrics e raccoglie dati da 130 milioni di blog e ottomila profili su social network. Vende anche un servizio chiamato “ThreatTracker”, che avvisa un’azienda ogni volta che il suo nome viene chiamato in causa in qualche discussione online. Quando PatientsLikeMe si è accorto della sua intrusione, le ha inviato una lettera chiedendo immediatamente di sospendere la raccolta di informazioni. Nielsen ha risposto dieci giorni dopo promettendo che non l’avrebbe più fatto ma che non sarebbe stata in grado di rimuovere le informazioni già ottenute dal suo database, anche se avrebbe cercato di non inserirle nel suo report finale per i clienti.

Il presidente di PatientsLikeMe, Ben Heywood, decise di rendere pubblico il tentativo di “furto” che avevano subito scrivendo tutto in un post. E ricordando ai suoi oltre settantamila utenti che il sito, comunque, vende dati in forma anonima alle aziende che ne fanno richiesta. La notizia fece molto scalpore tra gli utenti del sito e aprì un dibattito molto accesso sull’opportunità di rendere disponibili – anche se in forma anonima – informazioni così riservate, ma alla fine solo 218 utenti cancellarono il loro account. In totale, ha detto Heywood, Nielsen è riuscita a ottenere circa il cinque per cento dei messaggi scambiati dagli utenti nei vari forum del sito.