Un altro giorno, un altro guaio per Facebook

Un'inchiesta del New York Times mostra quanto fosse estesa la condivisione dei dati da parte del social network con le sue aziende partner, messaggi compresi

Cartonati del CEO di Facebook, Mark Zuckerberg, raccolti per una manifestazione a Washington, DC, lo scorso aprile (SAUL LOEB / AFP)

Una nuova lunga inchiesta appena pubblicata dal New York Times porta nuove accuse e dubbi sul modo in cui Facebook abbia gestito per anni i dati personali dei suoi utenti, condividendo con altre aziende molte più informazioni di quanto avesse finora esplicitamente ammesso. Il social network diede ad alcune delle più grandi società tecnologiche al mondo (e non solo) l’accesso ai dati personali degli utenti creando apposite eccezioni sui suoi sistemi per la privacy. Le informazioni nell’articolo sono state ottenute da alcuni documenti interni di Facebook e attraverso interviste a circa 50 persone, tra ex dipendenti e collaboratori dell’azienda.

L’inchiesta del New York Times è solo l’ultima di una serie di articoli e rivelazioni sul modo in cui Facebook gestisce i dati dei suoi utenti, tema diventato di grande attualità a inizio anno in seguito al caso di Cambridge Analytica. Negli Stati Uniti la Federal Trade Commission (FTC), l’agenzia governativa che si occupa anche di privacy, sta indagando sulle attività di Facebook e aveva già imposto anni fa alcune limitazioni al modo in cui la società raccoglie i dati. Le norme statunitensi in termini di tutela della riservatezza sono molto meno articolate e stringenti rispetto all’Unione Europea, e per questo la FTC talvolta interviene in modo mirato per limitare la raccolta di dati e assicurarsi che rispetti il diritto alla privacy degli utenti.

Accordi diretti
Secondo i documenti interni consultati, per anni Facebook strinse accordi mirati con aziende come Amazon, Microsoft, Apple, Spotify e Netflix per condividere grandi quantità di dati, senza avvertire gli utenti in modo adeguato. In alcuni casi l’accesso ai dati rimase attivo oltre la durata degli accordi, a dimostrazione di una certa leggerezza da parte di Facebook nel tenere sotto controllo i flussi di dati verso l’esterno.

Proprio nell’ambito delle sue attività di controllo, nel 2011 la FTC aveva imposto a Facebook di informare adeguatamente gli utenti, prima di condividere i loro dati con altre aziende. I documenti consultati dal New York Times sembrano indicare che il social network non rispettò l’imposizione, o comunque cercò di aggirarla.

Gli accordi diretti per lo scambio di dati interessarono circa 150 aziende, per lo più del settore tecnologico, ma anche società che si occupano di media, prodotti finanziari e automobili. Ai loro siti e applicazioni fu consentito di attingere dai dati di centinaia di milioni di persone registrate a Facebook. I primi accordi furono stipulati nel 2010, con una marcata crescita negli anni seguenti. Molti furono interrotti ufficialmente nel 2017, ma sono stati trovati indizi sul fatto che alcune aziende abbiano proseguito ad attingere ai dati ancora fino allo scorsa estate.

Aziende, dati e messaggi
Amazon, per esempio, ebbe accesso ai nomi e alle informazioni di contatto degli utenti, in un accordo che ora sembra sia stato interrotto. Non è chiaro come Amazon utilizzasse quei dati, ma si ipotizza che potessero essere impiegati per ridurre il fenomeno delle recensioni fasulle sul suo sito, attraverso un controllo incrociato degli utenti.

Bing, il motore di ricerca di Microsoft, aveva accesso ai nomi e ad altre informazioni nei profili dei propri amici sul social network. Facebook sostiene che fossero fornite soltanto informazioni pubblicamente visibili a tutti nei profili, Microsoft dal canto suo ha detto di avere cancellato ogni dato.

Apple aveva la possibilità di accedere ai dettagli degli utenti sui loro contatti e calendari di Facebook, anche se avevano esplicitamente disattivato le opzioni per la condivisione dei dati. Apple ha detto al New York Times di non avere saputo di avere un accesso privilegiato e ha precisato che ogni dato, personale e sugli impegni, sarebbe comunque rimasto visibile solamente sul dispositivo Apple di ogni singolo utente.

Infine, aziende come Spotify e Netflix ebbero accesso non solo ai dati dei profili, ma anche al sistema di messaggi di Facebook, potendo potenzialmente leggere le conversazioni private degli iscritti.

Sistemi operativi e Facebook
Le pratiche segnalate dal New York Times rientrano in varie tipologie di servizi e accordi, attivati nel corso del tempo da Facebook. Per quanto riguarda Apple e altri produttori di smartphone, si trattava di accordi per integrare meglio Facebook all’interno dei loro sistemi operativi (per esempio, per rendere più semplice la condivisione di contenuti direttamente dal proprio telefono). Per poter funzionare, il sistema richiede un alto scambio di dati tra dispositivi e Facebook. Su iOS e Android l’impostazione di Facebook è opzionale e il suo meccanismo è piuttosto chiaro, quindi si può presumere che molti utenti fossero a conoscenza del fatto che ci sarebbe stato uno scambio di proprie informazioni per potere accedere al servizio.

“Personalizzazione istantanea”
In termini di consapevolezza da parte degli utenti, le cose sono invece più complicate per quanto riguarda gli accordi come quello stretto per Bing. Facevano parte di un servizio chiamato “personalizzazione istantanea”, che il social network aveva avviato nel 2010 attivandolo automaticamente per tutti i suoi utenti (che solo a quel punto avrebbero potuto decidere di disattivarlo dalle impostazioni, ammesso si fossero accorti della sua attivazione). Le società partner potevano personalizzare i loro servizi per ogni utente, basandosi sulle preferenze espresse che Facebook condivideva in massa con loro.

Quando fu compresa l’estensione della “personalizzazione istantanea” era ormai troppo tardi: i dati di centinaia di milioni di persone erano stati condivisi e solo nel 2014, dopo numerose critiche, Facebook decise di chiudere il servizio. I documenti consultati dal New York Times indicano però che Bing continuò ad avere accesso ai dati fino al 2017 compreso, mentre altre aziende continuarono a ricevere dati almeno fino all’estate di quest’anno.

I dati condivisi erano tutti quelli impostati come “pubblici” dagli utenti, ma il fatto che fossero comunque accessibili anche dopo la chiusura del servizio dimostra una certa sottovalutazione dei rischi da parte di Facebook. La vicenda ricorda inoltre molto quella di Cambridge Analytica, dove i dati raccolti sul social network furono condivisi in modo scorretto tra diverse aziende e senza chiari avvisi per gli utenti.

Nei messaggi
La parte su Spotify, Netflix e l’accesso al sistema dei messaggi è meno chiara, ma è quella che sta facendo discutere di più. Facebook strinse accordi con queste e altre aziende per dare loro la possibilità di accedere al sistema di messaggi del social network, leggerne i contenuti e inviarne. Potevano farlo aggiungendo del codice (API) ai loro servizi, fornito nel 2010 da Facebook in una fase in cui stava dedicando molte attenzioni al suo sistema di chat, che si sarebbe poi evoluto nel Messenger che conosciamo oggi. Il sistema consentiva per esempio a Spotify di collegarsi a una chat e consigliare canzoni, sulla base delle richieste degli utenti. La presenza di Spotify era piuttosto trasparente, ma lo era meno il fatto che la chat fosse sostanzialmente aperta e leggibile da terzi. Un impiegato di Spotify avrebbe potuto leggere la conversazione tra gli utenti, ipotizza il New York Times, senza però fornire qualche esempio più pratico.

La risposta di Facebook
Facebook ha risposto all’articolo del New York Times con un comunicato nel quale sostiene che i suoi partner non abbiano mai avuto la possibilità di sottovalutare la privacy degli utenti, aggiungendo che non fossero in grado di utilizzare i dati per scopi diversi da quelli dichiarati. La società ha inoltre confermato di avere avviato una revisione di buona parte delle partnership e ha riconosciuto di dover fare di più per “riguadagnarsi la fiducia delle persone”.

La nuova inchiesta mostra quanto sia stato stretto in questi anni il rapporto tra Facebook e molte grandi aziende di Internet, che negli ultimi tempi hanno cercato di distanziarsi dal social network sostenendo di avere più a cuore la privacy dei loro utenti. Il sistema degli accordi diretti portava del resto benefici sia a Facebook, che poteva raccogliere più dati dall’esterno, sia alle aziende partner che potevano personalizzare meglio i loro servizi e soprattutto analizzare e anticipare i gusti dei loro utenti e dei potenziali nuovi clienti.

Dal caso di Cambridge Analytica in poi, Facebook ha continuato a ripetere che tra i suoi principi di base c’è quello di “non vendere” i dati degli utenti. Il lavoro del New York Times, e le inchieste uscite su altri giornali negli ultimi mesi, mostrano che il problema esiste ugualmente anche senza una vendita diretta dei dati, considerato il modo in cui Facebook li ha condivisi per anni con i propri partner senza adeguate contromisure per tutelare la privacy dei suoi iscritti.