Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Sono bastati nome e cognome, e in due giorni hanno scoperto tutto o quasi: indirizzo, professione, età, numero di telefono, email, parole chiave, gli ultimi numeri della carta di credito, la moto che posseggo, parenti, amici e i loro legami, il profilo completo di mio figlio, la scuola che frequenta e chi sono i suoi compagni. Che il Web sappia molto di noi è un mantra che viene recitato spesso, il problema è quando ti trovi davanti una lista di dati che ti ritrae e riflette pezzi del tuo passato per un’intera decade. Solo allora comprendi quanto hai lasciato che la Rete conoscesse di te. Con la Yoroi di Bologna, specializzata in sicurezza informatica, il gioco è iniziato quasi per caso. «Vediamo dove arrivate in 48 ore», è stata la sfida. Mi sembrava di avere un’idea abbastanza chiara di quel che di me c’era online. Mi sbagliavo, non avevo pensato a quante informazioni erano deducibili partendo magari da una semplice foto. Le ultime quattro cifre della mia carta di credito ad esempio, le hanno individuate analizzando uno scatto di qualche anno fa pubblicato su Facebook. In un ristorante, dopo aver pagato il conto, si distingue il pos in secondo piano con ancora inserita la carta e sul piccolo display a cristalli liquidi dei numeri sfuocati. È bastato pulire l’immagine con un programma per l’elaborazione delle foto per ottenerli. Nome e indirizzo della scuola di mio figlio invece sono stati trovati grazie ad un breve video d’inizio estate sul mio profilo Instagram. Non si vede molto se non la scalinata d’accesso e in cima le sagome dei ragazzi. A Bologna hanno consultato l’elenco delle scuole medie della mia zona e poi allargato l’area confrontato le immagini su Google Maps con quelle del video fino a individuare il portone giusto.
«Certo, se ti fossi chiamato Mario Rossi e non avessi fatto il giornalista, all’inizio sarebbe stato meno semplice», racconta Marco Ramilli, cofondatore della Yoroi. «Ma sono difficoltà superabili. Per altro la sfida era vedere quel che potevamo fare limitandoci al Web. Avremmo potuto sapere molto di più usando il telefono e sfruttando le informazioni che avevamo per accreditarci presso la tua banca oppure la scuola di tuo figlio».
La colpa è mia. Come miliardi di altre persone ho disseminato Internet di informazioni personali, anche se da anni ne pubblico sempre meno. Ma ne produco ogni momento anche involontariamente. Qualche giorno fa lo sviluppatore ed esperto di dati Dylan Curran, ha una rubrica sul Guardian, via Twitter ha fatto l’elenco di quel che Google raccoglie sui suoi utenti. Nulla di nuovo in realtà, ma se volete averne un’idea provate ad andare sugoogle.com/maps/timeline. Accedendo con le vostre credenziali avrete la cronologia giorno per giorno, mese per mese e anno per anno di tutti i vostri spostamenti. E non finisce qui.” Google custodisce informazioni di ogni app ed estensione che usi, quanto spesso le usi, dove, con chi interagisci usandole, a chi parli su Facebook, a che ora vai a dormire”, ha spiegato Curran a Forbes. L’intero ammontare di dati personali in mano al colosso di Mountain View è disponibile su takeout. google. com. I miei? In totale 9,5Gb, che diventano 160Gb con foto e posta. Ma queste sono informazioni private, finché l’accesso non mi viene rubato nessuno le può consultare. L’esperimento condotto con al Yoroi riguarda invece ciò che è visibile.
Adopero Facebook, Twitter e Linkedin per lavoro, sul social cinese TikTok che tanto piace fra i compagni di mio figlio non ho mai caricato nulla. Instagram è l’unico dove pubblico immagini non legate alla mia professione, ma raramente vi compaio. Ci sono poi le interazioni con le persone, grazie alle quali Yoroi è arrivata a zii e cugini, ai loro figli, mogli, mariti, compagne e compagni, luoghi dove vivono o che frequentano e lavori che svolgono. E ci sono le foto e i contenuti del passato, quando usavo Facebook senza troppo badare alla privacy, come abbiamo fatto tutti e come molti continuano a fare. Pescando negli anni addietro Ramilli e i suoi si sono imbattuti in mio figlio, nel suo nome, nella sua età grazie alle foto dei compleanni. Hanno sbagliato nell’individuare i miei genitori e a indicare alcuni hobby e passioni che non ho. Hanno però trovato il modo di ottenere l’indirizzo di casa studiando gli scatti ricorrenti di albe e tramonti. Tracciando delle linee partendo dagli edifici inquadrati, sono riusciti a individuare al loro intersecarsi il punto nel quale venivano scattate, indovinando di conseguenza via e civico.
«Più sappiamo di voi, con il vostro permesso, più riusciremo a darvi un Web su misura», disse a questo giornale nel 2011 Eric Schmidt, al tempo a capo di Google, poco prima che mettesse su carta la sua idea di umanesimo della Rete: La nuova era digitale. L’immagine di una pubblicità così precisa ( ed invasiva) da diventare perfino utile, all’epoca sembrava seducente e non solo agli inserzionisti. Il processo di individuazione degli utenti era cominciato nel 2009 quando Facebook ha aggiunto il tasto Like, diventato in breve una delle metriche più usate per misurare la popolarità di qualcosa ma anche il comportamento delle persone. I filtri introdotti da Google per capire quale dispositivo si usa per navigare, dove ci si trova e quali abitudini si hanno online sono apparsi quello stesso anno. Eli Pariser ha descritto tutto in Il filtro. Quello che internet ci nasconde, Shohana Zuboff, della Harvard University, ha rincarato la dose chiamandolo” il capitalismo della sorveglianza”.
Il Gdpr, il regolamento europeo sulla protezione dei dati, vieta una profilazione automatica tanto accurata come quella fatta da Yoroi e vieta anche il riconoscimento facciale. Avendo quelle informazioni si potrebbero inviare offerte altamente personalizzate e intrusive su assicurazione e manutenzione riguardanti la mia moto, o su libri di scuola e abbigliamento per mio figlio. Marco Ramilli ha trovato sul dark web anche delle mie credenziali di accesso alla posta e con quelle di danni se ne possono fare diversi. Una vecchia password, che però usavo ancora saltuariamente, finita in” Collection # 1": un elenco di un miliardo e 160 milioni di combinazioni di indirizzi e parole chiave frutto di centinaia di furti.
Contro le intrusioni illegali si può far poco se non cambiare ciclicamente le password ed evitare di tenerle in servizi online come la posta. Segnatele invece su un quaderno come facevano i membri del gruppo hacker LulzSec. L’analogico, carta e penna, nell’era digitale è l’unica cassaforte inviolabile. Bisognerebbe poi ridurre sui social le foto e i dettagli troppo personali, dialogare con i propri contatti più vicini in chat private e sfruttare le cosiddette” storie” su Facebook e Instagram: permettono di pubblicare contenuti che dopo 24 ore si cancellano senza lasciare tracce. Soprattutto ripulite le impronte del passato, togliendo tutto quel che è stato reso pubblico con troppa leggerezza. E, già che ci siamo, insegnate ai vostri figli che l’esposizione online ha un lato critico e bisogna sempre averlo ben chiaro in mente.
«Trovare le password per l’accesso alla posta, dove spesso si conservano le credenziali bancarie, diventa più semplice studiando a fondo una persona. Le inventiamo quasi sempre partendo da un legame affettivo», conclude Ramilli. «Pensa poi alle informazioni che ho raccolto su tuo figlio. Le potrei usare per confezionare una mail con un indirizzo simile a quello della sua scuola che sicuramente apriresti e zeppa di malware e software spia». Già, scegliendo con cura il testo dell’oggetto è probabile che cadrei nel tranello. Fortuna che stavolta si è trattato solo un gioco.

JAIME D’ALESSANDRO