Immaginate i vostri gusti e le vostre preferenze sessuali siano consultabili da tutti on line. Immaginate che queste informazioni possano essere addirittura scaricate insieme al vostro nome, alle informazioni relative al vostro datore di lavoro, ai dati della vostra carta di credito alle postazioni dalle quali vi siete connessi per interagire con altri utenti di un sito di incontri “per adulti”.
Quella che state immaginando non è la trama di un film o di un romanzo ambientato nel prossimo futuro, ma quanto stanno vivendo gli utenti di una piattaforma chiamata “Ashley Madison”, un social network per “incontri discreti tra persone sposate” il cui motto è “La vita è breve. Concediti un’avventura.”.
Alcune ore fa, infatti, alcuni criminali (visto che “le parole sono importanti”, è giusto non definirli hacker) hanno pubblicato 10 GB di dati relativi ai 36 milioni di utenti della piattaforma e a tutte le transazioni eseguite dal 2009 al luglio del 2015 (data in cui il gruppo di pirati informatici chiamato “Impact team” è riuscito a venire in possesso di queste informazioni).
Sicuramente alcuni nomi di utenti potrebbero essere falsi visto che il sito non richiede una verifica (è difficile pensare, ad esempio, che Barak Obama si sia iscritto ad AM utilizzando l’indirizzo ‘[email protected]’, che pure è presente nel database pubblicato da Impact team) e certamente molte delle email fornite non sono valide (circa il 34% secondo una prima stima). Così come va precisato che quello di Ashley Madison non è l’hack più rilevante sotto il profilo numerico (basti pensare al caso Sony che, nel 2011, riguardò oltre 77 milioni di utenti).
Tuttavia, i 10 GB di dati diffusi da Impact Team, per tipologia di informazioni diffuse (non solo nome e cognome, ma anche localizzazione, preferenze sessuali e carte di credito) e per le conseguenze che queste possono avere per la vita degli utenti, rappresentano sicuramente uno dei casi più gravi.
Alcune delle implicazioni più spiacevoli sono facilmente individuabili:– per molti degli utenti sposati della piattaforma (il 57% del totale), la pubblicazione di queste informazioni potrebbe causare la fine del matrimonio (con tutte le conseguenze, anche economiche, di un divorzio);– per gli omosessuali che vivono in paesi con leggi che li discriminano, la pubblicazione potrebbe significare persecuzioni e condanne (come denunciato da un utente saudita);– per coloro che si sono iscritti utilizzando la mail della pubblica amministrazione o dell’azienda in cui lavorano, la diffusione delle informazioni potrebbe determinare contenzioso e procedimenti disciplinari, nel caso in cui fosse contrario alle policy aziendali sull’uso della posta elettronica.
In ogni caso, inoltre, la diffusione di queste informazioni è in grado di condizionare la vita di milioni di persone che – da oggi – non sapranno se i colleghi alla macchinetta del caffè staranno ridendo dopo aver visto le fotografie pubblicate sul proprio account oppure se la ragazza che avevano invitato a cena ha rifiutato dopo aver visto che il suo ‘cavaliere’ è stato tra gli utenti di Ashley Madison (anche se solo per qualche ora).
Sicuramente la vicenda avrà degli strascichi legali: in Canada è già stata avviata la prima class action contro Avid Life Team (la società che gestisce AM) e iniziative analoghe saranno sicuramente replicate in diversi altri Paesi, dal momento che quanto verificatosi, rappresenta un’illecita diffusione di dati sensibili (perché idonei a rivelare informazioni sulla vita sessuale degli utenti).
Tuttavia, a prescindere da quanto decideranno i Tribunali, possiamo fin da ora ricavare tre piccole lezioni.
La prima è relativa alla cruciale importanza della privacy e della tutela dei nostri dati, una cosa di cui ci rendiamo conto – spesso – solo dopo averla perduta. Perdere la privacy significa, infatti, perdere la libertà di non essere giudicati per le nostre abitudini e i nostri gusti, a meno che non siamo noi stessi ad esporci volontariamente al giudizio degli altri in modo spontaneo e totale.
La seconda lezione riguarda la mole di dati e di informazioni che noi affidiamo a piattaforme, siti, app di cui quotidianamente ci serviamo per lavoro o per il tempo libero. Chi gestisce questi servizi raccoglie e custodisce (o meglio, dovrebbe custodire) informazioni relative ai nostri gusti sessuali, alla nostra dieta e alle intolleranze alimentari, alle nostre patologie, alla nostra situazione finanziaria, oltre che le informazioni essenziali per il nostro business. Quotidianamente affidiamo a questi soggetti quanto abbiamo di più importante (pensate banalmente alle vostre foto), confidando nel fatto che rimangano riservate, ma senza di fatto chiederci chi siano e quanto siano affidabili i soggetti che gestiscono le piattaforme.Al contrario, spesso, presi dall’euforia di provare l’ultimo servizio tecnologico o di raggiungere i nostri amici, neppure leggiamo la privacy policy che dovrebbe essere uno degli elementi da valutare per scegliere consapevolmente quali servizi usare (nel caso di AM, ad esempio, l’impazienza di “concedersi un’avventura” ha impedito agli utenti di valutare che la cancellazione del profilo, una volta iscritti, era possibile solo previo pagamento della somma di 19 dollari).
La terza riflessione è sempre legata ad un uso consapevole di queste piattaforme e, in particolare, alla scelta di quali informazioni condividere con i soggetti che le gestiscono e con gli altri utenti.Ad esempio, se è necessario usare il vero nome e cognome per una piattaforma come LinkedIn, in cui mettiamo in mostra le nostre competenze professionali per trovare lavoro e clienti, lo stesso non vale per una piattaforma come AM in cui nemmeno è richiesta la conferma della posta elettronica e sarebbe stato possibile anche indicare un nome di fantasia.Per non parlare del fatto che – anche in assenza di apposite policy aziendali – non risponde al buon senso utilizzare una mail lavorativa per registrarsi al sito (oltre 1400 utenti statunitensi hanno usato la mail della pubblica amministrazione per cui lavorano, e anche 11 utenti “governativi” italiani sono nella stessa condizione).L’utilizzo di un indirizzo personale eviterebbe di lasciare informazioni che – nel caso di un attacco informatico come questo – possano essere associate facilmente a noi e quindi avere delle ripercussioni.
Insomma, la nostra privacy non passa sempre e solo da nuove norme, ma anche dal rispetto di alcune semplici cautele di buon senso che ci consentano di mantenere privato ciò che vogliamo.
Come scrive Stefano Rodotà, infatti, “l’intimità dovrebbe designare un modo d’essere del vivere che non è solitudine, né semplice riservatezza. Non un allontanamento, non una opacità della vita, ma la possibilità di coglierla nella sua pienezza, fuori d’ogni controllo o interferenza”.
ERNESTO BELISARIO
