Alcuni di noi valutano grandemente la propria privacy ed altrettanti sottovalutano l’importanza dei propri dati. Molte persone con cui, negli anni, ci è capitato di interfacciarci non sembrano interessati minimamente ai possibili problemi che un furto d’identità et similia possono comportare, tant’è che, spesso e volentieri, ci sentiamo ripetere la frase: “Tanto, io, non ho nulla da nascondere”. I videogiocatori, probabilmente, sono quelli che risultano un tantino più sensibili a questo tipo di argomento poiché, se e quando viene rubato un account, l’utente si ritrova impossibilitato ad accedere ai giochi in proprio possesso e spesso a quei personaggi che ha livellato con passione affezionandosi nel tempo al proprio character. In altre parole: tutti noi iniziamo ad imparare quanto realmente i nostri dati valgono, solo il momento in cui ci vengono sottratti, a seconda delle contingenze. Ma dovremmo prendere coscienza della fine fanno i nostri dati e per cosa vengono utilizzati…
Ci sono due mondi che a volte si interfacciano ed in cui i dati valgono particolarmente: quello delle società (operatori marketing, social networks, etc.) che “vendono all’utente un’esperienza”, o che, da un altro punto di vista, “comprano l’utente” (lo targetizzano), e quello del black market. Diamogli quindi un’occhiata!
IL VALORE DEI NOSTRI DATI PER I SOCIAL NETWORK
Mettiamo un attimo da parte il valore dei nostri dati sul mercato nero del deep web, ovvero quanto varrebbero se rubati e poi venduti e osserviamo, invece, al loro valore per quelle compagnie che ci chiedono di rilasciarglieli legalmente come, per esempio, Facebook, StumbleUpon, Google, Twitter, Tumblr, Pinterest, etc.
A questo proposito, Datum presenta un bel portale, molto semplice da utilizzare, dove è possibile calcolare approssimativamente ed in dollari cosa significa avere i propri dati on-line su tutti i social network. Tali dati si basano sull’ARPI, ovvero, sull’Average Revenue Per User il quale indica i ricavi mensili ottenuti per ciascun utente. Se, per esempio, restiamo in un regime anonimo senza condividere i nostri dati di localizzazione e sanitari ci troviamo attorno ai 349,19 dollari, ovvero circa 296,20 euro, mentre aggiungendo tutti i dati 2002,79 dollari, cioè circa 1698,88 euro, come possiamo notare nell’immagine sottostante.
Più collegamenti (chiamati in gergo connections) abbiamo, più dati creiamo, infatti, e maggiormente queste compagnie potranno arricchirsi grazie al marketing personalizzato che ci ruota attorno: è un circolo vizioso che rende l’utente l’oggetto da vendere favorendo quelle aziende che propongono pubblicità per invogliare lo stesso ad acquistare i loro prodotti.
Le persone, ormai convinte di godere di un servizio personalizzato, sono divenute paradossalmente l’oggetto del desiderio dei venditori di marketing: i nostri dati, chi siamo, cosa vogliamo possedere, le nostre aspirazioni, i nostri sogni, il futuro che bramiamo sono tutti oggetti di scambio che vengono comprati per, poi, esserci rivenduti sotto forma di pubblicità.
IL VALORE DEI NOSTRI DATI PER IL BLACK MARKET
Poco tempo fa, ci è capitato anche di discutere con un impiegato in una banca sentendoci rispondere: “Sì, ma tanto si ricevono comunque chiamate pubblicitarie, a caso, anche negando il consenso della diffusione dei dati a terzi”; forse, in certi casi può anche essere vero, ma questo perché coloro che hanno i nostri dati vengono pagati da questi terzi per rilasciarli, oppure i loro sistemi per proteggere i dati possono avere delle falle “sia fisiche che umane” (un esempio è il caso di Twitter, accaduto il mese scorso). E, così, noi ci ritroviamo sommersi da chiamate pubblicitarie che siamo costretti a bloccare.
Senza contare che le stesse aziende, soprattutto in Italia, tendono a “prendere sottogamba” l’argomento finché, alla fine, non sono obbligate a correre ai ripari a causa di qualche violazione dati subita. Questo è anche il motivo per cui l’Europa ha imposto il famoso GDPR, ovvero il regolamento generale sulla protezione dei dati, che però in Italia, a nostro avviso, non è stato recepito in modo corretto: anziché invitare, infatti, le aziende a prendere coscienza dei propri sistemi di sicurezza e protezione dati così da migliorarne i controlli, comprenderne i possibili vuoti e correggerli, le compagnie hanno iniziato a scrivere/firmare/scambiarsi documenti di “presa visione” dell’utilizzo che fanno, ed hanno sempre fatto, dei dati di clienti/fornitori, pratica del tutto inutile. Un altro esempio può essere uno studio di qualche commercialista colpito da un ransomware: la Polizia Postale, da quanto ci è stato riportato, consiglierebbe di pagare il riscatto per poter sbloccare i dati (per due motivi: nessuno ancora ha imparato a tenere un backup di tutti i propri dati off-line e protetto e tedenzialmente, il pagamento permette il ripristino del sistema), però questi dati, tutte le informazioni dei clienti dello studio, una volta “contratto” il virus sono già stati trasferiti nelle mani dei malintenzionati e, quindi, ormai sebbene recuperabili, sono stati anche acquisiti da terzi e verranno quasi sicuramente rivenduti o utilizzati in altro modo.
Uno dei possibili dati sensibili, di cui abbiamo parlato anche ultimamente in merito a Have I been pwned e Firefox Monitor, è l’account e-mail. Una persona difficilmente si rende conto di quanti dati si possono recuperare dalla propria e-mail: tutti i servizi on-line, infatti, richiedono l’inserimento di un indirizzo e-mail per utilizzarli e la possibilità, tramite questa, di resettare e modificare la password di accesso; senza contare le bollette di casa inviate all’account, i vari servizi ad essa connessi come, per esempio, gli e-commerce su cui compriamo, la nostra banca, etc.
E, poi, non dimentichiamoci che alcuni dei dati che siamo, per forza di cose, obbligati a rilasciare come, per esempio, dati fiscali e sanitari, sono sempre in pericolo: basti pensare al problema che è accaduto poco tempo fa al portale dell’INPS dove comparivano dati in chiaro di altri utenti, oppure varie problematiche legate a dei leaks (“fuoriuscite”) di dati provenienti dagli stessi ospedali (proprio a maggio di quest’anno il gruppo Anonymous Italia ha dimostrato di aver bucato ed avuto accesso al San Raffaele di Milano).
Ma, diamo un’occhiata ai numeri. I nostri dati vengono venduti nel black market, spesso in pacchetti e di norma a dei prezzi preoccupantemente bassi – in altre parole ognuno di noi vale poco più di un nichelino – che si aggirano tra 1 e 10 dollari per account, ovvero in euro circa 0,85 e 8,48 (qui possiamo trovare i dati completi forniti da SecureList).
Ecco, quindi, dimostrato che non abbiamo comunque il completo controllo dei nostri dati: perché allora cercare di sensibilizzare l’utente singolo e le compagnie private anziché le aziende pubbliche? Semplicemente, perché è l’unico modo che permette di inizializzare un’implementazione che, poi e per forza di cose, dovrà essere recepita anche dagli organi pubblici. Inoltre, ci si dovrebbe chiedere quale uso viene fatto dei soldi guadagnati vendendo i nostri dati nel black market; dovremmo pensare in quale sfera ci troviamo e domandarci: dei malviventi in cosa impiegherebbero questi guadagni? Cosicché, inizieremmo a pensare che i nostri dati involontariamente potrebbero non solo essere utilizzati per inviare e distribuire spam, pubblicità e malware ma anche per finanziare organizzazioni legate a droghe, armi e persino pedofilia.
Ed, a questo punto, chiediamoci: davvero vogliamo, anche se innocentemente ed a nostra completa insaputa, far parte di tutto questo?
Comincia la discussione