Sono passati due anni dallo scandalo di Cambridge Analytica e Facebook continua ad essere al centro di sanzioni, diffide, polemiche e processi per l’uso improprio dei dati dei suoi utenti. Nel 2018 la multa dell’Autorità Antitrust al colosso tech era di cinque milioni, oggi è di sette. Le chiamano “mini-multe”. Eh sì, perché con un fatturato di circa 86 miliardi USD annui Facebook è un’azienda privata e commerciale che queste “spese” di routine le ha già messe in bilancio.
La sanzione odierna arriva al padre di tutti i social network per non aver ottemperato alle indicazioni dell’Autorità garante per la Concorrenza ed il Mercato italiano, già presenti in un provvedimento emesso a novembre 2018. Le accuse sono di non aver pubblicato la dichiarazione rettificativa richiesta dall’Autorità e aver perseverato nella pratica scorretta sull’utilizzo dei dati degli utenti.
PRIVACY VS PROFITTI
Facebook Ireland Ltd., insieme a Facebook Inc., è nota per non fare molta attenzione alla protezione dei dati personali degli utenti se all’orizzonte ci sono margini di guadagno dalla vendita degli stessi. Secondo l’Antitrust, il social di Zuckerberg ha messo in atto pratiche ingannevoli per invitare gli utenti a iscriversi alla piattaforma senza informarli a sufficienza della quantità e qualità dei dati raccolti, né delle finalità della raccolta stessa dei dati. Già due anni fa, nelle bufere mediatiche di Brexit ed elezioni americane, l’Autorità aveva emesso dei provvedimenti, ma le due società non hanno mai pubblicato la dichiarazione rettificativa richiesta e non hanno cessato la pratica scorretta accertata.
L’Autorità sottolinea l’importanza al momento dell’attivazione dei nuovi profili utente, di una spiegazione sufficiente e chiara da parte del social network di «tutta l’attività di raccolta, con intento commerciale, dei dati da loro forniti e, più in generale, delle finalità remunerative sottese al servizio, enfatizzandone viceversa la gratuità».
Inoltre secondo l’Antitrust «le informazioni fornite da Facebook risultavano generiche e incomplete e non fornivano una adeguata distinzione tra l’utilizzo dei dati necessario per la personalizzazione del servizio (con l’obiettivo di facilitare la socializzazione con altri utenti) e l’utilizzo dei dati per realizzare campagne pubblicitarie mirate».
LA DIFESA ZUCKERBERG
La risposta di Facebook non si è fatta attendere. «Prendiamo atto dell’Autorità Garante della Concorrenza e del Mercato ma rimaniamo in attesa della decisione del Consiglio di Stato sull’appello che abbiamo presentato rispetto al provvedimento iniziale emesso dall’Autorità» è stata la dichiarazione della difesa. Il portavoce del social network ha poi spiegato: «La tutela della privacy per noi è estremamente importante e abbiamo già apportato una serie di cambiamenti, anche alle nostre Condizioni d’uso, per chiarire ulteriormente come utilizziamo i dati per fornire i nostri servizi e la pubblicità personalizzata».
LADRI DI DATI
Proprio ieri un attacco hacker ha sottratto a Facebook i dati di 533 milioni di utenti: di questi, 36 milioni sono italiani, cioè circa la metà della popolazione della penisola. Agli internauti ignari sono stati sottratti e messi in vendita attraverso un bot su Telegram dati come nome, numero di telefono, email, relazione sentimentale, lavoro e gruppi di contatti.
La vulnerabilità, già chiusa da Facebook nel 2019, ha portato alla creazione di un database illegale di dati che ora sono in vendita sul web con un metodo molto oscuro: almeno inizialmente l’hacker aveva predisposto un bot su Telegram (il “bot” in terminologia informatica è un programma che accede alla rete attraverso lo stesso tipo di canali utilizzati dagli utenti) che consentiva agli utenti di inviare un numero di telefono e ricevere l’ID del profilo Facebook di un utente in risposta oppure di inviare l’identificativo dell’account per ricevere il numero di telefono. Il tutto al costo di 20 euro per il singolo dato oppure di 5.000 euro per l’accesso a 10.000 contatti.
In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.
It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm
— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021
Il bot ora è stato bloccato da Telegram, ma la vendita dei dati prosegue in privato come una normale piattaforma di e-commerce. Dal phishing al social engineering, sono molte le truffe che si possono attuare in possesso di questi dati.
BIG TECH CONTRO TUTTI
A muoversi per prima sul terreno della protezione della privacy era stata nel 2013 la Spagna, con una multa da 900mila euro. Anche in Italia si ricorda un caso negli esordi delle piattaforme: nel 2014 Google dovette pagare una multa da un milione di euro per fatti risalenti al 2010. Secondo il Garante della privacy le automobili usate per creare “Street View” del colosso di Mountain View percorrevano le strade italiane senza essere perfettamente riconoscibili e non consentendo, in tal modo, alle persone presenti nei luoghi percorsi dalle “Google Cars” di decidere se sottrarsi o meno alla “cattura” delle immagini.
Twitter è stata la prima tech company Usa ad essere multata dal Garante Privacy irlandese con 450mila euro per violazione del regolamento europeo a dicembre 2020.
In Cina, Alibaba, Tencent e Shenzhen Hive Box dovranno pagare complessivamente 189mila euro per non aver rispettato le norme sulla concorrenza.
Google ha affrontato numerosissime traversie con l’Unione Europea in tema di privacy arrivando a sborsare negli anni circa 8,2 miliardi di euro. Nel 2018 Google LLC. ha dovuto pagare una multa di 4,34 miliardi di euro all’Antitrust europea per aver abusato della sua posizione dominante nei sistemi operativi per telefoni cellulari. Nel 2017, invece, sempre l’Ue ha multato Google per 2,42 miliardi di euro per manipolazione dei risultati di ricerca riguardo al suo servizio di shopping comparativo, Google Shopping.
Anche nel 2019 il portafoglio del colosso tech è stato aperto quando ha dovuto pagare una multa di 1,49 miliardi comminata dalla Commissione europea per aver violato le regole sulla concorrenza. All’epoca, nel mirino c’era il servizio AdSense e l’abuso di posizione dominante, con cui avrebbe imposto una serie di clausole restrittive nei contratti con i siti di terze parti per prevenire la pubblicazione di annunci di concorrenti del motore di ricerca. E sempre del 2019 è la sanzione del Garante per la protezione dei dati francese per violazione del regolamento europeo sulla protezione dei dati personali (Gdpr). La sanzione, che ricorda tanto quella odierna a Facebook, era di 50 milioni di euro ed è stata imposta per «mancanza di trasparenza, informazioni adeguate e mancanza di un valido consenso un merito alla personalizzazione degli annunci».
LE AUTORITÀ IN ITALIA
Per il Codacons la sanzione da sette milioni di euro inflitta dall’Antitrust a Facebook è un segnale di «giustizia» perché gli utenti «hanno diritto alla trasparenza», commenta l’Associazione. Il Codacons si adopera da tempo per ottenere la massima trasparenza da parte dei social network perché «la questione dell’uso commerciale dei dati degli utenti riguarda tutti i social network e al momento dell’iscrizione a tali piattaforme i cittadini non vengono adeguatamente informati, come confermato dalla sanzione Antitrust» spiega il presidente Carlo Rienzi.
Per garantire scelte consapevoli agli utenti, ma soprattutto proteggerli da frodi e manipolazioni è importante che le società del settore si impegnino per fornire la massima trasparenza circa le finalità della raccolta dei dati e la loro destinazione.