Questi siti di cui non avete mai sentito parlare vendono e condividono un mucchio di dati sul vostro conto.
Mentre vivi la tua vita — fai shopping online, compri casa, ti sposi, usi un motore di ricerca, metti mi piace a una pagina Facebook, vai a votare — lasci un sentiero di briciole, che i data broker sono pronti a sfruttare.
I data broker sono entità che raccolgono informazioni sui consumatori, per poi vendere quei dati (o punteggi analitici, o classificazioni fatte sui dati) ad altri data broker, aziende e/o individui. Questi data broker non hanno una relazione diretta con le persone di cui prelevano le informazioni, che rimangono spesso e volentieri ignare dell'intero processo.
"La maggior parte [delle persone] non ha idea di chi siano queste aziende e di come abbiano ottenuto i loro dati, e sarebbero molto sorprese di sapere il livello di intimità dei dettagli che queste aziende posseggono," ha detto Amul Kalia, analista e coordinatore alla Electronic Frontier Foundation.
Anche qualora i consumatori fossero consapevoli sia dell'esistenza dei data broker che della vastità dei dati raccolti, resterebbe difficile determinare quali dati abbiano in mano. Per esempio, alcuni data broker magari permettono agli utenti di rimuovere i dati grezzi, ma non tutto ciò che deriva dagli stessi, rendendo difficile per i consumatori sapere come siano stati categorizzati. Alcuni immagazzinano qualsiasi dato indefinitamente, anche se poi viene rettificato. L'industria è più che opaca, e i data broker non hanno motivo reale di interagire con le persone di cui raccolgono, analizzano e condividono i dati.
Cerchiamo di capire il mondo oscuro dei data broker, che tipo di informazioni raccolgono e che opzioni abbiamo per minimizzare la loro dispersione. Qui, se volete, abbiamo stilato una lista pratica sui principali siti di Data Broker e su come uscirne.
Quanti tipi di data broker esistono e quali minacce rappresentano per gli utenti
L'industria dei data broker si divide in genere in tre categorie. Ci sono siti per fare ricerca sulle persone, in cui gli utenti possono inserire un frammento di informazione — come il nome proprio di qualcuno (o numero di telefono, città o stato, indirizzo email, codice fiscale, etc.) e ottenere informazioni personali sia gratuitamente che per una cifra irrisoria. Le informazioni possono includere alias, date di compleanno, interessi e affiliazioni, indirizzi e trasferimenti, percorso di studi, dettagli sull'impiego, stato civile, eventuali divorzi, istanze di fallimento, etc, profili social media, proprietà immobili e dettagli sui familiari. Queste persone setacciano siti come Spokeo, PeekYou, PeopleSmart, Pipl e molti altri — che, certo, possono essere usati per ritrovare vecchi amici e inviare loro una cartolina, ma dato che danno accesso a indirizzi, atti di tribunale e altre informazioni che molte persone preferirebbero lasciare private, possono anche essere sfruttati per operazioni di doxing.
Esistono poi data broker che si concentrano sul marketing, come Datalogix (di proprietà di Oracle), o le divisioni e aziende sussidiarie di colossi come Experian e Equifax. Sviluppano dossier su individui che fungono a metro per campagne di marketing. I data broker in genere dividono i consumatori per età, etnia, livello di educazione, reddito, numero di figli e interessi. Le aziende comprano liste di nomi, indirizzi, interessi e attività offline per modellare il modo in cui si rivolgono a questi individui — offrendo loro sconti, offerte e coupon su misura.
Ma le informazioni possono anche essere usate per inserire le persone in classifiche ad alto rischio, basate sulla loro cronologia o per pubblicizzare prestiti a interesse alto, anziché basso, per cui avrebbero in realtà le qualifiche necessarie. Per esempio, la ricerca relativa a condizioni mediche specifiche come malattie cardiache o diabete potrebbe essere aggiunta alla tua biografia digitale. Persino attività apparentemente innocue, come fare ricerca sul diabete per te o un amico — potrebbe portare le compagnie assicuratrici a considerarti una persona con comportamenti a rischio, stando alla FTC. In certi casi, queste classifiche potrebbero basarsi su dati inaccurati — e non è facile per i consumatori avervi accesso, correggerli o rimuoverli.
Infine, ci sono data broker come ID Analytics che offrono misure di mitigazione del rischio, per verificare identità e individuare potenziali frodi. Questi sono in genere i meno problematici per i consumatori, a meno che, ovviamente, le informazioni non siano sbagliate — e, di nuovo, difficili da correggere. Per esempio, un istituto di credito può usare un prodotto di mitigazione del rischio per determinare se un numero di previdenza sociale sia associato a una persona deceduta, o se un indirizzo di posta sia collegato a un caso di frode. Utile, certo, ma può anche impedire a consumatori innocenti che per coincidenza hanno un indirizzo simile di completare una transazione.
Altre minacce
In aggiunta alle minacce riportate sopra, le informazioni raccolte su ogni individuo possono servire ad scopi nefandi, tipo facilitare il furto di identità."Se riesci a ottenere informazioni su qualcuno online, potresti spacciarti per lui o usare la sua cronologia bancaria o magari entrare su un sito protetto da password, indovinando le domande di sicurezza impostate," ha detto Paul Stephens, Director of Policy and Advocacy alla Privacy Rights Clearinghouse.
Le informazioni "possono essere usate da uno stalker per trovare l'indirizzo delle sue vittime; o da qualcuno che vuole molestarti al telefono, se ottengono il tuo numero."
In aggiunta, le aziende che estraggono tonnellate di dati sulle persone possono subire violazioni della sicurezza — per cui i dati finiscono in mani ancora peggiori. Oltre al noto attacco a Equifax, che ha colpito 145 milioni di persone, c'è stato quello ad Acxiom nel 2003, dove oltre 1.6 miliardi di documenti (compresi nomi, indirizzi e indirizzi email) sono stati rubati per essere, almeno in parte, rivenduti a spammer. L'attacco subito da Epsilon nel 2011 ha lasciato esposti nomi e indirizzi email di milioni di persone, poi colpite da spam e tentativi di phishing. L'azienda affiliata a LexisNexis, RELX, è stata violata molteplici volte — ogni volta compromettendo numeri della previdenza sociale, indirizzi e dati della patente di tantissime persone. Nel 2015, qualcuno è riuscito ad accedere a 15 milioni di documenti appartenenti a T-Mobile ma conservati sui server di Experian.
Da dove prendono i tuoi dati i data broker?
I data broker raccolgono informazioni dai registri pubblici, come quelli di catasto, tribunali, motorizzazione, censimento, registri di nascite, matrimoni, o divorzi, delle licenze di professione, dai registri di voto, istanze di fallimento, etc.
Possono anche comprarle da fonti commerciali, estrapolare lo storico degli acquisti (insieme a date, somme, metodi di pagamento, carte fedeltà, coupon usati, etc), oltre alle registrazioni delle garanzie richieste ai venditori.
Inoltre sfruttano i siti di social media, l'attività di browsing, le app di quiz, i report mediatici, siti e altre fonti disponibili pubblicamente. E, ovviamente, scambiano informazioni tra di loro e le mescolano.
Ma è legale?
"Non c'è niente di illegale nel postare queste informazioni online," ha detto Stephens. "Bisogna distinguere tra i data broker e un'agenzia di rapporto del credito o di consumo, e dipende tutto da come le informazioni vengono usate." L'uso di dati sul consumatore per scopi come prestiti, assicurazioni o assunzione (controlli sui precedenti compresi) negli Stati Uniti sono regolamentati secondo il Fair Credit Reporting Act (FCRA), una legge passata nel 1970 che permette di accedere e correggere il proprio rapporto di credito. Significa anche che chi impiega i rapporti di consumo può ottenere queste informazioni solo in determinate circostanze. Per esempio, un datore di lavoro che sfrutta questi dati per valutare gli impiegati o i candidati per una posizione, deve ottenere permesso scritto e spiegare come intende utilizzarli.
Ma i data broker che non rientrano nella definizione di agenzia di rapporto di consumo non sono regolamentati allo stesso modo. I siti per fare ricerca sulle persone spesso sconsigliano ai propri utenti di usare i dati reperiti come proxy per controlli di credito tradizionali (per decisioni su cose come prestiti, abitazioni, lavoro, assicurazione, etc), ma come o quanto le persone rispettino l'avviso è difficile da determinare.Griffin Boyce, un amministratore di sistema al Berkman Klein Center for Internet & Society all'Università di Harvard, ha ricevuto centinaia di dollari di risarcimento in un'azione legale collettiva nei confronti di LexisNexis — una corporazione che fornisce ricerche di mercato e servizi di gestione del rischio — dopo aver cercato di modificare informazioni false sui propri registri e non esserci riuscito. Nel 2012, il sito Spokeo ha pagato 800.000 dollari per dirimere le accuse, fatte dalla FTC, secondo cui avrebbe venduto informazioni ad aziende di risorse umane, reclutamento, e controllo precedenti senza aderire al FCRA.
Nel frattempo, un'altra causa contro Spokeo è in corso di disputa in tribunale. Nel 2011, Thomas Robins, residente in Virginia, ha accusato il sito di vendere informazioni inaccurate su di lui, tipo che aveva più di 50 anni, era sposato con figli e impiegato in un campo tecnico-professionale — tutte cose non vere. Robins sosteneva che Spokeo violasse la legge federale perché non cercava conferma delle informazioni prima di venderle a terze parti. Sostiene di aver probabilmente perso occasioni di lavoro per questa ragione.
Il primo reclamo è stato rigettato da un procuratore distrettuale perché Robins non ha dimostrato di aver subito danni, ma in appello la causa è stata rivalutata. La Corte Suprema degli Stati Uniti ha sentenziato che Robins debba dimostrare danni reali perché possa procedere. La Corte d'Appello ha decretato che i danni dichiarati fossero sufficienti per meritare una causa legale. L'avvocato di Robins sta cercando di organizzare una class-action.
In aggiunta alle regolamentazioni del FCRA, c'è anche la Sezione 5 del Federal Trade Commission Act, che proibisce atti o pratiche ingiuste o ingannevoli. "La sola esistenza del sito non è necessariamente una violazione," ha spiegato Tiffany George, avvocato della Division of Privacy and Identity Protection della FTC. Il sito deve produrre dichiarazioni false o procurare direttamente un danno ai consumatori.
A maggio 2014, la Federal Trade Commission ha pubblicato un report da 110 pagine sui data broker, che includeva i risultati di uno studio approfondito su nove di essi, il cui scopo era fare luce sull'industria e le sue pratiche. "Il Congresso non ha varato alcuna legge specifica nel frattempo," ha confermato Kalia. "Il documento era ottimo. C'erano numerose raccomandazioni ma, sfortunatamente, il nostro sistema non le ha seguite." Tra le altre cose, era consigliata una normativa che richiedesse alle entità che si interfacciano con i consumatori di dichiarare la condivisione dei dati con i broker e permettere loro di svincolarsi. Si raccomandava, inoltre, che i data broker creassero un meccanismo centralizzato, come un portale, per fornire alle persone l'accesso ai loro dati e la possibilità di disattivarne la condivisione per scopi di mercato. Infine, si chiedeva al Congresso di richiedere ai data broker di divulgare nomi e categorie dei dati sfruttati, e di dichiarare non solo che i dati vengono utilizzati allo stato grezzo, ma anche le ingerenze basate su determinati elementi.
"Per molti versi, ci sono similitudini con il furto di dati subito da Equifax nel 2017, perché anche Equifax aggregava i dati dei consumatori, cosa che dovrebbe rappresentare un incentivo sufficiente perché il Congresso faccia qualcosa, ma non è andata così," ha aggiunto Kalia. Kalia ha sottolineato come le campagne elettorali, soprattutto a livello federale, usano le informazioni delle aziende di data broker per stabilire verso chi indirizzare le pubblicità. "Ci affidiamo alla classe politica perché regoli questa industria, ma i nostri politici sono i primi clienti di questo settore, che traggono benefici dalla mancanza di normative," ha detto.
Detto questo, Kalia crede che affrontare il problema localmente possa essere utile. Per esempio, lui stesso ha testimoniato davanti a una commissione composta dall'Attorney Generale del Vermont e atta a cercare di stipulare nuove norme. Per il momento, i consumatori possono svincolarsi da alcuni di questi siti, ma il processo è estenuante, difficile e deve essere ripetuto più volte, perché i data broker ti rimettono ogni volta nel sistema. Alcuni estrapolano i dati da altri siti e li aggiornano automaticamente. Poi ci sono data broker che non rimuovono le informazioni neanche sotto richiesta esplicita.
"Una delle ragioni per cui raccomandiamo la stesura di leggi nel nostro report e una delle cose che abbiamo evidenziato è che c'è un proliferare continuo di questi data broker, ma nessuna fonte o meccanismo centrale che permetta ai consumatori di scoprire cosa possono fare per proteggersi e rimuovere le proprie informazioni, ed è l'implementazione di un sistema del genere che chiediamo al Congresso," ha detto George.
Ha scoperto che i siti che permettono ai consumatori di uscire richiedono l'invio di informazioni identificative, ma versioni diverse del suo nome hanno continuato a ricomparire, ed è stato necessario formulare molteplici richieste di uscita. "Abbiamo proposto al Congresso di formulare norme che richiedano ai data broker trasparenza assoluta sulle limitazioni delle opzioni di uscita che forniscono ai consumatori," ha detto.
Che cosa possiamo fare?
Secondo gli esperti, il tempo speso per svincolarsi da questi siti non è sprecato. Alcuni siti, benché non tutti, permettono alle persone di farlo. Ma non basta provarci una volta sola. "Molto spesso si tratta di processi automatizzati, per cui anche se esci oggi, il sistema recupera i tuoi dati da un'altra fonte e le tue informazioni tornano dentro," ha detto Kalia.
Ed è anche parecchio difficile. Alcuni siti offrono un processo trasparente e semplice, altri proprio nessuno. Tra i due estremi, ci sono quelli che chiedono all'utente di superare le 12 fatiche di Ercole tra telefonate, email e fax, o di farlo almeno due volte dalla stessa pagina.
Altri chiedono di fornire ulteriori informazioni. "Per esempio, un sito come Radaris non ti permette di rimuovere le informazioni, ma solo di 'controllarle.' Il che significa che puoi nasconderle parzialmente ma mai del tutto, e devi iscriverti a un sito, dandogli ulteriori dati," ha detto Joe Sutton, capo di DeleteMe di Abine. (Radaris non ha risposto alla nostra richiesta di commento.) DeleteMe è un servizio a pagamento che rimuove le informazioni dei suoi utenti dai siti di ricerca sulle persone. È una buona alternativa, pur non essendo davvero risolutiva, perché non è globale.
Se un consumatore invia informazioni identificative con la sua richiesta di uscita che sono diverse da quelle contenute nei registri del data broker, alcuni dati potrebbero essere tralasciati nel processo. E il consumatore deve inviare altre richieste.
Per cui, la cosa migliore è uscirne il prima possibile e spesso. "Aspettare di diventare vittima di qualche spostato non è una buona idea. È possibile prendere provvedimenti per proteggersi, a patto di perderci due ore ogni anno per la manutenzione," ha detto Boyce. "La prima volta che l'ho fatto, mi ci sono volute tra le due e le quattro ore. Controllavo i siti principali ogni tre mesi, mentre ora lo faccio ogni sei o 12. Per i personaggi pubblici, fare un controllo tutti i mesi non è sbagliato. Queste aziende si fondono e rimescolano regolarmente."
Puoi iscriverti a servizi come DeleteMe per usufruire di questo tipo di protezione. Ad ogni modo, le informazioni aggiunte automaticamente da altri siti possono rispuntare altrove, e certi data broker accettano richieste solo dai diretti interessati — insomma, conviene controllare con quali siti i servizi simili a DeleteMe non funzionano.
Uscire dai siti di marketing
Se la tua prima preoccupazione è assicurarti che i data broker non condividano informazioni intime tipo problemi finanziari, gravidanze, o strane ossessioni per i memorabilia di Elvis, la cosa si fa ancora più complicata, spiega Kalia. "La maggior parte delle volte gli output offerti dall'industria non sono efficaci," ha detto. "Continuano a conservare i dati in una certa forma. Magari risultano soppressi, a seconda del data broker, ma non è come dire 'Ok, ora smettiamo di raccogliere dati su di te perché sei uscito dal nostro sistema."
Ci sono diverse strategie per salvaguardarsi. Tony Webster, sviluppatore web e ricercatore in sicurezza online, sottolinea che alcuni dipartimenti della motorizzazione offrono opzioni sulla privacy (anche se, in alcuni stati, solo per chi è vittima di furto di identità o crimini violenti) e che alcune compagnie telefoniche permettono agli utenti di gestire la condivisione delle informazioni fornite e rimuovere i numeri dal registro delle chiamate in uscita. Ha anche consigliato di abbandonare le offerte di credito pre-condiviso e trovare un modo per aggiungere un congelamento di sicurezza sui rapporti del credito.
"Le aziende possono dare alle agenzie di credito un profilo ideale dei consumatori che stanno cercando — classificati per reddito, per quartiere o città e così via — e queste ultime, previo pagamento, vendono felicemente le informazioni personali di chiunque risponda alle caratteristiche richieste,” ha detto. “È per questo che ricevi offerte di carte di credito nella mail. Ma le agenzie di credito non fanno un lavoro abbastanza efficace per assicurarsi che a ottenere tali informazioni siano delle istituzioni finanziarie legittime.”
Griffin si raccomanda di rinunciare alle offerte di credito pre-approvate, in modo da non rischiare il furto dell'indirizzo email e relativa attivazione di carte di credito, limitando quindi la condivisione e la vendita di dati ad alcune entità. “Le persone che seguono questo consiglio vengono escluse da un'intera campagne di marketing. Quando i dati personali per quella campagna sono condivisi o venduti, chi non ha selezionato le offerte pre-compilate non è in quel determinato database,” ha detto. “I database si replicano come virus. Un’azienda raccoglie i dati e cerca di trarne profitto. Poi li vende a qualcun altro. E in caso di bancarotta, nessuno verifica a chi questi dati vengono venduti, perché agli occhi della legge i tuoi dati personali sono vendibili come qualsiasi altro bene.”
Congelare il credito
Congelare il credito limita l'accesso al tuo estratto conto ai creditori o agli esattori che agiscono per loro conto, alle agenzie governative che rispondono a mandati di comparizione o ordinanze giudiziarie/amministrative. Questo accesso limitato rende difficile aprire conti a tuo nome senza il tuo consenso, dato che la maggior parte dei creditori vuole vedere l'estratto conto, prima di operazioni simili.
”Chi si preoccupa per la propria privacy dovrebbe sfruttare qualsiasi opzione possibile per difenderla. Ognuno è libero di non prendere alcuna precauzione — di certo, però, in questo periodo caratterizzato da continue violazioni e furti di dati, congelare il proprio credito è una scelta ottima, perché, probabilmente, è il modo più efficace per non farsi rubare l'identità online,” ha detto Stephens.
Lo svantaggio di congelare il proprio credito è che può essere un po' complicato sospendere temporaneamente il congelamento se, per esempio, dovete farlo controllare per affittare un nuovo appartamento (o per qualsiasi altro motivo). Bisogna capire quale agenzia di credito sia coinvolta, ricordare un codice pin e, probabilmente, pagare per il servizio. ”C'è questo aspetto fastidioso ma, di sicuro, resta un metodo molto efficace per prevenire il furto di identità,” ha detto Stephens.
Rendere pubbliche le informazioni sui social media le rende vulnerabili alla raccolta da parte dei data broker, quindi può essere utile rendere il proprio account accessibile solo ad amici e familiari. Bloccare i profili dei social ed evitare di rispondere a quiz online sono altri buoni metodi per tenere lontani i data broker dai tuoi dati.
Webster, inoltre, raccomanda di usare il buon senso online. ”Spesso, la data di nascita viene usata come identificatore o domanda di sicurezza, quindi, considera l'ipotesi di non postare una foto della tua festa di compleanno su Twitter,” ha spiegato. Per quanto bloccare gli account e non fornire date di nascita sui social può prevenire alcuni di questi problemi, alla fine, l'unico vero modo per evitare che le tue informazioni sui social siano estrapolate è non avere dei profili sui social.
Anche così, i data broker raccolgono comunque dati da altre fonti. Non si tratta solo di bloccare i social media, ma anche di non fornire in primo luogo le informazioni. Una volta che le informazioni sono là fuori, non possono tornare indietro, perché una volta che le rivelate inavvertitamente e un data broker le ottiene, non c'è davvero nessun modo per riprendersele," ha aggiunto Stephens.
Per chi è disposto a compiere questo sforzo, la cosa migliore è essere pro-attivi e non concedere le tue informazioni a nessuno a meno che non si tratti di un'azienda che si impegna a non venderle a nessuno come propria politica sulla privacy. Se stai per cambiare casa, hai l'opportunità perfetta: il tuo nuovo indirizzo potrebbe non comparire negli indici dei data broker e puoi scegliere una casella postale o un servizio di inoltro della posta. "Prima di dare le tue informazioni a qualcuno, pensate: hanno davvero bisogno di queste informazioni e che cosa hanno intenzione di farci?" ha detto Stephens.
Presentare un reclamo
Come ultima cosa, se vi imbattete in siti di data broker che si comportano in modo poco corretto, si può presentare un reclamo alla FTC, come ha fatto Abine nel 2012per BeenVerified.
”I consumatori possono presentare alla FTC un reclamo per qualsiasi comportamento che ritengono scorretto o dannoso adottato da un'azienda. Il reclamo verrà inserito nel nostro database condiviso anche con le altre forze dell'ordine. Usiamo queste informazioni per condurre le nostre indagini e il nostro lavoro sulle policy,” ha spiegato George.