Lo scandalo Cambridge Analytica è l'unica ragione per cui Facebook esiste

Questo weekend, mentre Facebook cercava di capire se le informazioni utilizzate da Cambridge Analytica per classificare gli elettori durante le elezioni del 2016 fossero state ottenute attraverso un data "breach" o con altri mezzi fraudolenti, ho deciso di controllare le mie impostazioni privacy.

Da quando mi sono iscritto a Facebook nel 2006, ho associato il mio account a 100 diverse app di terze parti. Oltre a quelle comuni come Spotify e Uber, ho dato accesso al mio account ad applicazioni come "Typing Maniac," "I bet I can guess your favorite color," e "Crazy Cabbie." Ho solo vaghissimi ricordi della maggior parte di queste app. Tuttavia, in base alle loro impostazioni, molte hanno ancora accesso alle stesse informazioni utilizzate da Cambridge Analytica per targetizzare gli utenti di Facebook e farli raggiungere dagli annunci politici che hanno aiutato Donald Trump a vincere le elezioni presidenziali del 2016.

Typing Maniac — un gioco di cui ricordo pochissimo — ha accesso al mio profilo pubblico, alla mia lista di amici, alla mia situazione sentimentale, al mio orientamento sessuale, alla mia data di nascita, alla mia storia lavorativa, ai miei aggiornamenti di stato, alla mia carriera scolastica, agli eventi a cui ho partecipato, alla mia città natale, alla città in cui vivo attualmente, alle foto in cui sono stato taggato e che ho postato, alle mie opinioni religiose e politiche, ai miei video, al mio sito web, alla mia descrizione sul mio profilo e ai miei ”like.”

L'applicazione era stata creata da una società chiamata MetroGames. La sua policy riguardo la privacy riportava che la società "può anche raccogliere informazioni sull'utente da altre fonti, come giornali, blog e servizi di messaggistica istantanea". L'informativa spiega che i dati personali vengono condivisi con terzi solo quando "consentito dall'utente", ma spiega anche che ha utilizzato i dati anonimi indipendentemente dalle impostazioni di un utente: "lo facciamo principalmente per personalizzare pubblicità e promozioni, li consideriamo un vantaggio per l'utente".

In definitiva non so cosa abbia fatto MetroGames — che ora non esiste più — con i miei dati. Ma tra le app a cui ho dato accesso attraverso il mio Facebook c'è una buona probabilità che almeno una di esse abbia venduto le mie informazioni ai data broker e che, grazie a quello, mi abbiano targettizzato su Facebook e altrove. Facebook non ha risposto alle nostre richieste di commento per questo articolo.

"Devi partire dal presupposto che hanno ricavato delle informazioni dal tuo profilo,” mi ha spiegato al telefono Woodrow Hartzog, autore di Privacy’s Blueprint: The Battle to Control the Design of New Technologies. "Cambridge Analytica ha utilizzato una tecnica di estrazione delle informazioni che chi si occupa di tecnologia conosce bene da anni. Le implicazioni di questa vicenda sottolineano la pericolosità dell'ecosistema dell'informazione".

Il punto che sto cercando di sottolineare è che, sebbene l'uso specifico dei dati degli utenti da parte di Cambridge Analytica per aiutare una campagna politica sia qualcosa di cui non eravamo mai venuti pubblicamente a conoscenza, si tratta esattamente del tipo di uso per cui è stata progettata la piattaforma. Di base, Facebook è una piattaforma pubblicitaria che continua a essere un'azienda di successo proprio perché la sua piattaforma ha permesso il tipo di targeting personale specifico svolto anche da Cambridge Analytica.

Sebbene, dal punto di vista tecnico, Facebook richieda alle app di non vendere informazioni sugli utenti ai data broker, i ricercatori sostengono che quasi nessuno segua le indicazioni e che spesso molte aziende sono spuntate fuori dal nulla, raccoglievano informazioni e poi vendevano i dati (o l'intera azienda) alle società di marketing e ai data broker. Per Facebook sarebbe stato difficile venire a conoscenza di quanto stava accadendo.

Il modo in cui Cambridge Analytica ha ottenuto i dati di milioni di utenti americani è stato fatto — e in una certa misura sta continuando a essere così — da molte aziende di data broker degli Stati Uniti e del mondo. Gli stessi dati che sono usati tutti i giorni per vendere scarpe e app di meditazione sono usate per venderci anche candidati politici. Anche se Cambridge Analytica ha usato i dati in modo sbagliato e li ha ottenuti in maniera fraudolenta è un altro discorso — migliaia di app sono state usate per accumulare informazioni su milioni di utenti Facebook e si è sempre fatto poco niente per impedire loro di vendere dati a terzi.

"Credo che sia preoccupante il modo in cui le altre app ricavino queste informazioni," ha detto Hartzog. "Creano un tipo generico di app che potrebbe essere in qualche modo interessante per gli utenti, prendono più informazioni possibili e poi escono dal mercato. C'è un grosso incentivo a ottenere i dati, e non c'è alcun rischio legale nel farlo. Né da parte di Facebook né da parte del sistema."

Questo non è un caso, è il vero e proprio modello di business delle app. In definitiva non so se MetroGames ha venduto i miei dati, ma molte app simili sono state create con questa intenzione.

In questo modo, le aziende non stavano violando tecnicamente le loro privacy policies — comprando le app di Facebook, le "terze parti" sfruttano il fatto che la prima parte possiede i dati. Per esempio, una compagnia di analisi dati chiamata RapLeaf era stata sorpresa a comprare informazioni degli utenti da diverse app di Facebook, che l'ha fermata immediatamente, ma la compagnia è semplicemente stata venduta a due data broker, Acxiom e Tower Data. Oggi Acxiom è un "partner marketing di Facebook" che permette ai potenziali advertiser di integrare le informazioni di cui sono già in possesso con i dati che Acxiom ha già raccolto.

"Una volta che Facebook ha creato la API [di condivisione dati] c'è stato un land grab," mi ha detto al telefono Christo Wilson, ricercatore della Northeastern University che ha studiato le tattiche di condivisione dati di Facebook con le terze parti. "Stavano progettando app in maniera maniacale — foto del giorno, quiz, qualsiasi tipo di immondizia che chiunque installerebbe, per avere una base di utenti per prendere i dati. All'epoca era un grosso mercato. Sviluppavano app collegate con Facebook per divertimento, creare una grossa base utenti e poi vendere la app per centinaia di migliaia di dollari a una compagnia di marketing."

Permettere a una app di accedere al tuo Facebook fornisce un "token" che può poi essere usato — in molti casi senza vincoli — per utilizzare i tuoi dati, sostiene Wilson.

Nel corso della ricerca, lui e il suo collega Alan Mislove hanno creato delle app per capire che tipo di informazioni possono essere utilizzate da pubblicitari e data broker; quel "thisisyourdigitalife" è stato creato per la ricerca accademica e in teoria non ha influenza sul modo in cui i dati vengono raccolti e infine utilizzati. Migliaia di altre app hanno utilizzato gli stessi dati.

"Ci hai detto di aver installato un centinaio di app — non sei l'unico," ha detto Wilson. "Io ho delle restrizioni sul mio comportamento per questioni istituzionali, invece il 99,9 percento di queste app erano state messe in commercio con l'intento di monetizzare sulle persone."

Un cambiamento delle regole sulle API nel 2015 ha limitato la condivisione dati — Facebook non permetteva più alle app di prenderli semplicemente perché un tuo amico aveva installato la app — ma le app di terze parti potevano comunque prendere dati dal tuo profilo se gli avevi dato il permesso. E a causa del modo in cui funziona la pubblicità su Facebook, una volta presi i dati, restavano a disposizione. Gran parte del danno è già stato fatto.

I data broker hanno creato dei database di informazioni prese da Facebook e non solo. E una volta presa la piattaforma, i dati possono essere analizzati e re-importati dopo che sono stati usati per targettizzare le persone. Facebook permette agli advertiser di caricare dei fogli .CSV di informazioni e usarle con i suoi prodotti "Custom Audiences". Quei dati poi possono essere usati per individuare una audience simile su Facebook — persone di cui i data broker possono non sapere granché ma di cui invece Facebook sa tutto, secondo Mislove.

Le partnership di Facebook con i data broker come Acxiom ed Experian permettono agli advertiser di mettere insieme ciò che il social network sa di te con ciò che sanno i data broker per creare un profilo più dettagliato.

Insieme, Facebook e i data broker hanno stilato una lista di cose che sembrano piacermi, basate sui miei like, le mie app, il mio comportamento sul web e, soprattutto, quello che i data broker sanno di me. Ci sono dei profili di questo tipo:

“Se fossi stato in Cambridge Analytica, avrei preso i dati di 50 milioni di utenti, li avrei processati e avrei cercato di capire chi di loro poteva essere influenzato,” ha detto Mislove. “Dopodichè avrei ri-caricato i dati su Facebook sotto forma di audience personalizzata, e avrei chiesto a Facebook di individuare le persone simili a loro, ovvero tutte quelle persone influenzabili ma non presenti nel primo database da 50 milioni di utenti.”

Quando mi sono iscritto a questo centinaio di app anni fa, avevo generalmente due scelte possibili: Accettare i termini di servizio, o non usare le app. Recentemente, Facebook ha cominciato a permettere un tipo di controllo più preciso e più specifico per le varie app, ma rimane il fatto che Facebook genera profitti vendendo pubblicità, e che queste pubblicità aumentano di valore per le aziende — e per Facebook — perché Facebook e le aziende con cui lavora può targettizzarti in maniera specifica.

Benché Facebook abbia apportato alcune modifiche per migliorare il controllo della privacy, il calcolo alla base non è cambiato: se non stai pagando per qualcosa, sei tu il prodotto.

“L’incentivo è estrarre ogni grammo di valore dagli utenti,” ha detto Hartzog. “Il servizio è costruito attorno a questi incentivi. Devi convincere le persone a condividere quante più informazioni possibili, così da farli cliccare su quante più pubblicità possibili. Questo è il principio operativo dell’intero internet social.”

Questo articolo è apparso originariamente su Motherboard US.