Quasi 200 milioni di vittime. Fortunatamente non si tratta di un attentato ma quanto è accaduto è comunque molto grave: una società appaltatrice del Partito Repubblicano (PR) ha esposto un database con dati personali molto sensibili. A scoprire il file è stato il ricercatore Chris Vickery, che lavora per UpGuard.
In breve, i dati erano online su server di Amazon, liberamente accessibili, consultabili e scaricabili. Pare che i dati siano stati esposti dal primo al 14 giugno (la scoperta di Vickery è del dodici), quando la società proprietaria ha bloccato l'accesso. Molti potrebbero averne fatta una copia. C'erano altri 24 TB di dati sul server, aggiunge Vickery, che però erano protetti.
Nomi, data di nascita, indirizzo di casa, numero di telefono e orientamento politico sono solo alcune delle informazioni dettagliata incluse, insieme ad altri dettagli come orientamento sessuale, religione e razza. Chiunque fosse in grado di recuperare il link poteva scaricare e analizzare i dati, che occupano circa 1 terabyte.
I dati sono stati raccolti da molte fonti diverse, nell'ambito di un'operazione curata dalla società Deep Root Analytics - sul cui sito si può leggere un comunicato stampa riguardante il furto di dati. Una breve dichiarazione con cui la società si assume la "piena responsabilità della situazione". Il documento ci informa anche del fatto che Deep Root Analytics ha già avviato un'indagine interna con l'aiuto della società specializzata Stroz Friedberg.
In una dichiarazione separata rilasciata a Gizmodo, il fondatore dell'azienda ha affermato che "non crediamo che il nostro database sia stato violato". Secondo loro, dunque, non ci sono stati accessi sospetti ai dati. È sicuramente possibile, ma l'indagine è appena partita ed è doverosa la massima prudenza.
Non è la prima volta che si verifica un furto di dati personali, ma questo potrebbe essere il caso più grave mai registrato. Per il numero di persone, parliamo di circa il 61% dei cittadini USA e di quasi tutti i registrati al voto, e per l'altissima precisione dei dettagli - non capita spesso di poter identificare e profilare un singolo individuo in questo modo.
Secondo Vickery il database non era ben protetto, lo definisce mal configurato. "I dati erano conservati in un server pubblicamente accessibile", ha spiegato, "e conteneva informazioni da almeno due altri fornitori dei Repubblicani, TargetPoint Consulting e Data Trust. Tra le fonti c'era anche Kantar, una società di indagini e analisi tra le più grandi al mondo. L'operazione di raccolta risale alla campagna elettorale dell'anno scorso; secondo alcuni proprio questa raccolta e analisi dei dati ha permesso al Partito Repubblicano di vincere.
A cosa servono informazioni simili? A fare precise campagne mirate, con un tipo di propaganda mai vista prima nella storia umana.
L'azienda dovrà sicuramente affrontare le conseguenze, ma nell'immediato ci sono altre preoccupazioni e possibili rischi da prendere in considerazione. Il database infatti permette di identificare con precisione diverse categorie di persone. Per esempio, in pochi attimi si potrebbero trovare gli americani bianchi che sostengono Donald Trump e si oppongono alla regolamentazione sul possesso di armi. Oppure gli afroamericani in favore del matrimonio omosessuale, e così via.
I rischi sono di diverso tipo, dall'aggressione personale al furto d'identità, passando per tutte le possibili varianti. Chi fosse intenzionato a colpire una o più categorie ha in mano uno strumento molto potente. Nell'improbabile eventualità che da un sistema democratico ci trovassimo in una dittatura ideologica, informazioni del genere sarebbero la prima risorsa per individuare eventuali oppositori o anche solo "sgraditi".
Il problema non è l'uso che si possa fare di un database simile. Il problema è la sua stessa esistenza.
Non è dato sapere se qualcuno ha effettivamente scaricato il database, ma è doveroso presumere che sia successo. "La possibilità che questo tipo d'informazione diventi pubblica sul dark web è estremamente alta", ha infatti commentato Paul Fletcher di Alert Logic. "È molto preoccupante", ha aggiunto Frederike Kaltheuner di Privacy Internacional. "Non sono solo dati sensibili, sono informazioni intime, previsioni sul comportamento delle persone, opinioni e convinzioni che le persone non avrebbero diffuso".
"È una minaccia al funzionamento della democrazia", continua Kaltheuner. "Il Partito Repubblicano si è affidato a dati raccolti pubblicamente, a informazioni raccolte con metodi commerciali. Nessuno avrebbe realizzato che i dati affidati a una società sarebbero finiti in un database usato poi per fini politici".
L'altro aspetto rilevante riguarda le operazioni di raccolta dati stesse. La vicenda infatti ci mostra come ci sia una notevole fusione tra attività politica e strumenti di marketing mirato, con un livello di precisione profilazione molto alto.
Si chiama Algorithmic Propaganda, ed è una strategia elettorale che prevede una raccolta dati della massima precisione possibile. Successivamente il messaggio viene confezionato ad hoc per ogni gruppo o anche per ogni singolo individuo. Le leggi statunitensi rendono più semplice raccogliere i dati necessari, mentre le leggi europee tendenzialmente lo impediscono.
Le forze politiche hanno usato e usano questo tipo di dati per organizzare le proprie campagne: per esempio servono a scegliere il tema di un dibattito in una certa zona, o l'impostazione di un discorso in un'altra. E cercano informazioni di ogni tipo: opinioni sui combustibili fossili o sull'aborto. C'erano anche dati presi da insospettabili (apparentemente) gruppi di discussione.
Sarebbe opportuno che le forze politiche fossero ritenute direttamente responsabili di questi incidenti, visto che sono loro a trarne maggior beneficio. Questa è l'opinione di Joseph Lorenzo Hall (chief technologist, Center for Democracy and Technology). È molto difficile, tuttavia, anche solo immaginare un qualche modo per incentivare i politici a trattare i dati con maggiore attenzione. "Temo che senza strumenti per punire le campagne che fanno trapelare questo tipo di informazioni, continuerà a ripetersi fino a che non accade qualcosa di brutto", ha concluso Hall.