La privacy è morta. L'ideologia della trasparenza radicale.

Nel suo primo lustro di esistenza «pubblica», dal 2005 al 2010, Facebook ha costantemente eroso la privacy dei suoi utenti32. Facebook propaganda l'ideologia della trasparenza, anzi, della trasparenza radicale: essere trasparenti nei confronti delle macchine ci renderà liberi33. Ma abbiamo già contestato l'assunto che «You can't be on Facebook without being your authentic self»34: l'io autentico è un concetto pericoloso. L'autenticità è un processo, è divenire sé stessi insieme agli altri che contribuiscono alla nostra crescita personale, non un dato di fatto stabilito una volta per tutte.

Ma quella di Facebook è una credenza cieca, una religione applicata che non sente ragioni. Infatti:

Members of Facebook's radical transparency camp, Zuckerberg included, believe more visibility make us better people. Some claim, for example, that because of Facebook, young people today have a harder time cheating on their boyfriends or girlfriends. They also say that more transparency should make for a more tolerent society in which people eventually accept that everybody sometimes does bad or embarassing things. The assumption that transparency is inevitable was reflected in the launch of the News Feed in September 2006. It treated all your behaviour identically[...]35

Abbiamo già visto come la sovrapposizione online fra le reti comportamentali e di affinità comporti disagi enormi per la vita quotidiana, quando non veri e propri pericoli. Ma è un dogma di Facebook, e d'altra parte è anche una precisa necessità commerciale: è necessario che i dati degli utenti siano pubblici, che la privacy venga sfumata fino a essere una reliquia del passato, per favorire la raccolta pubblicitaria diffusa. Gli inserzionisti devono poter verificare, senza ledere la privacy di nessuno che le loro pubblicità siano state piazzate solo sulle pagine degli utenti che corrispondono al profilo di consumatore richiesto per il loro prodotto.

Tutto ciò è sempre, beninteso, per il nostro bene di utenti. Almeno, questa è la posizione ufficiale dell'azienda, una mission espressa con molta forza in comunicati, interviste, presentazioni. E se io non volessi essere totalmente trasparente? E non tanto perché ho qualcosa da nascondere (per quanto tutti abbiamo parecchio da nascondere), quanto perché non voglio che tutti sappiano le stesse cose di me nello stesso tempo. Sono più frastagliato e articolato e contraddittorio di quanto possa raccontare il mio profilo Facebook. Voglio iniettare caos, discordanza fra i dati che dovrebbero definirmi, scombinare le carte in tavola.

E poi, banalmente, se stasera non ho voglia di uscire con te, voglio poterti dire che «sono stanca» senza fornire altre spiegazioni, senza che tu ti offenda, o peggio che ti senta presa in giro e tradita quando, domani, scoprirai sul muro di Facebook di un'amica comune che ieri sera non ero a casa, ma a ballare con altri amici. La vita sociale è più complessa di quanto ci permetta la trasparenza radicale, a meno che non rinunciamo a gran parte di ciò che ci rende diversi dagli altri, e perciò interessanti e desiderabili, e non ci uniformiamo a un gruppo che la pensa nello stesso modo.

In ogni caso, i dati personali dei servizi di social networking, Facebook compreso, si trovano sulle cloud, nelle nuvole di dati, non certo sotto il nostro vigile controllo come il diario delle confidenze di una volta. Fino a poco fa, tutti i dati inseriti su Facebook erano per sempre, non cancellabili dagli utenti, e diventavano istantaneamente di «proprietà non esclusiva» di Facebook, ovvero potevano essere venduti a società terze. Certo, il problema del diritto d'autore è ridicolo, perché non ha senso pensare che Facebook aspetti solo di guadagnare vendendo le nostre ridicole foto delle vacanze a bassa risoluzione, o i nostri post sgrammaticati come fossero pezzi degni del premio Pulitzer. Non siamo artisti defraudati e sfruttati. Tuttavia, il data mining36 compiuto a fini di profilazione, il materiale che si accumula nei data center per formare i Big Data, è un problema serio. Nulla è gratis, soprattutto non nel web 2.0, dove il prezzo da pagare per la «gratuità» del servizio, che «sarà sempre così», come recita la homepage di Facebook, è la raccolta, indicizzazione e sfruttamento dei dati dei profili degli utenti, e soprattutto delle loro relazioni reciproche. In attesa di monetizzare.

E la privacy? La socialità online attuale si fonda sull'assenza di privacy, ovvero sulla possibilità di scansionare mail, foto, blog, testi, ogni cosa per estrapolare parole chiave e proporre pubblicità contestuali e mirate, sulla base di scambi considerati «privati, riservati». Google, Facebook, il social networking rendono palese l'esistenza di sfere né pubbliche né private, governate dalle tecnocrazie e in particolare da tecnocrazie private mosse da scopi di lucro. La privacy, cioè la riservatezza, è letteralmente il «diritto di essere soli» (right to be alone). Per questo, la protezione della «privacy comune» in una rete sociale è un ossimoro: l'obiettivo di una rete è far circolare, in questo caso le informazioni, e quando le informazioni sono le identità delle persone che compongono la rete, l'idea di rimanere da soli è chiaramente inconsistente. L'unico modo è disconnettersi dalla rete.

La privacy è una chimera; esiste solo quando ci rende conto che è stata violata. Dopo Echelon37 è evidente che stiamo parlando di qualcosa che non esiste, o non esiste più da molto tempo. Inoltre il problema evidenziato dalla sorveglianza pervasiva non è tanto l'assenza di privacy, quanto la continua profilazione, cioè il controllo e monitoraggio prolungato nel tempo. Ogni utente ha un'impronta digitale, la sua identità, ancora una volta unica e personale. Essere parte di una rete significa essere connessi e lasciare tracce del proprio passaggio. Accade anche con il telefono: se getto il mio cellulare, perché temo di essere controllato, con il nuovo cellulare tenderò a fare le stesse telefonate alle stesse persone, cioè a ricomporre la mia rete sociale. Se esiste un profilo di un utente che si comporta in quel modo, l'identificazione è automatica: sono io38. Nei social network accade qualcosa di ancora più inquietante, perché di solito non si nascondono le liste di membri di un gruppo ai non membri, per non limitare troppo la possibilità di entrare a far parte di quello stesso gruppo. Non è difficile generare identificatori a livello di gruppo, impronte di gruppo, per esempio una lista di tutti i gruppi Facebook a cui un singolo utente appartiene.

Sostenere la libera circolazione dei saperi non ha nulla a che fare con questo genere di condivisione, automatica e forzata, di qualsiasi cosa. Questa non è la condivisione del copyleft, della conoscenza liberata dalle pastoie dei brevetti, dei marchi registrati, degli accordi di non divulgazione; e non è nemmeno la conoscenza di dominio pubblico (public domain): pubblicato non significa pubblico, ma gestito da una società privata, Facebook appunto39.

Sono in corso diversi studi su sistemi di Mass De-Anonymizing & Re-Identification, algoritmi di de-anonimizzazione e re-identificazione di massa sui social network. È sufficiente conoscere una rete sociale di modeste dimensioni in maniera completa (le relazioni fra i nodi devono essere note) per poter usare queste informazioni per re-identificare, e dare un nome e un cognome reali a utenti che appartengono anche a un'altra rete più grande. Ad esempio, conoscendo in maniera completa le relazioni fra qualche migliaio di utenti che condividono foto su Flickr, se una parte di questi utenti ha anche un account su Facebook, è possibile utilizzare questa sovrapposizione fra le reti per de-anonimizzare un numero enorme di profili della rete più ampia40.

Metodi più semplici ma altrettanto efficaci, che richiedono conoscenze matematiche nettamente inferiori, ma una buona capacità di costruzione di siti web e di programmazione di codice malevolo, sono i sistemi di browser history stealing & hijacking41. L'impronta personale e di gruppo è derivabile dai dati conservati dai nostri browser, specialmente se non cancelliamo mai la cronologia dei siti visitati, i cookies, i dati di login sui nostri social network. Per ottenere questi dati, si fanno convergere gli utenti verso un sito web civetta, promettendo qualche vincita favolosa o pornografia gratuita, che funziona sempre. Il codice nascosto (javascript o simili) si occupa di scaricare, immagazzinare e incrociare i dati del browser utilizzato, la storia di navigazione, le password, i cookies, la versione utilizzata, ogni cosa. Il procedimento di de-anonimizzazione è ancora più efficiente con l'aiuto di LSO (Local Shared Object): una sorta di supercookies in flash/flex, centralizzati sui server di raccolta dati, normalmente non cancellabili dai browser42.

Per quanto riguarda i già citati socialbots, un recente esperimento43 condotto dai ricercatori dell'Università di Vancouver mostra che le reti sociali online sono altamente insicure soprattutto per via dell'anello debole: gli esseri umani, che per poterli popolare tendono a comportarsi in maniera sempre più meccanica e quindi facilmente imitabile dalle macchine. Così le reti sociali online si possono infiltrare, ad esempio per diffondere disinformazione e propaganda. Simili campagne sono più efficaci quando si infiltra una rete sociale online su larga scala. I socialbots sono programmi che imitano i comportamenti di utenti reali; nell'attacco dei ricercatori canadesi, questi programmi cominciano a creare profili fasulli e a inviare richieste di amicizia, rispondendo in maniera adattativa alle reazioni degli utenti reali. Nel giro di otto settimane, i socialbots sono riusciti a infiltrare l'80% degli obiettivi, a seconda delle impostazioni di privacy degli utenti, impiantandosi stabilmente come nodi di una rete di fiducia online. Quando un socialbot si guadagna la fiducia, può, come il corrispettivo umano, accedere a dati protetti; in questo modo, i dati degli utenti sono ancora più esposti rispetto a un accesso completamente pubblico, per il semplice fatto che gli utenti ritengono quei programmi loro amici, e non pezzi di codice programmati per accumulare i loro dati. Se ce ne fosse stato bisogno, risultati simili mostrano che i tanto propagandati sistemi di sicurezza di Facebook, noti come sistema immunitario, sono inefficaci nel contrastare infiltrazioni malevole su larga scala.

Le risposte di Zuckerberg riguardo ai continui miglioramenti per garantire la sicurezza online non toccano il punto cruciale in questione, ovvero l'identità, in questo caso declinata come autenticità. Per dare fiducia a un amico online, come offline, devo innanzitutto riconoscere che è proprio lui, cioè autenticare la sua identità. Ma al momento nelle reti sociali online non sono gli utenti a gestire l'autenticità della propria identità: sono sistemi di algoritmi gestiti dalle società che forniscono gratuitamente quei servizi. Ne deriva il paradosso a cui ci siamo tutti abituati che per accedere a noi stessi, alle nostre mail, alla nostra pagina Facebook, Twitter, ecc. dobbiamo dimostrare di essere noi stessi, attraverso login e password. I sistemi di autenticazione diffusa, come Facebook Connect, Google Friend Connect, ma anche OpenID, tendono a spostare il problema dell'autenticazione, ponendosi come garanti globali per noi nei confronti di terzi. Sei proprio tu, ci chiede un nuovo servizio a cui vogliamo accedere online? Clicca qui, consentici di verificarlo controllando i tuoi dati del profilo di Facebook, dove si suppone che tu dica sempre la verità. Autenticarsi significa fornire autenticità, cioè, letteralmente, fare in modo che «lo stesso» (autos) sia «autorevole», e che questa autorevolezza provenga da dentro (entos < intus), e non da un'autorità terza là fuori. Autos-entos, io stesso sono autorevole da me stesso. La mia identità me la sono costruita io e me la gestisco io. Il che ovviamente implica che io sia in grado di dare un senso alla mia identità e di comunicarla in maniera comprensibile, ovvero che gli utenti siano autonomi e competenti nell'uso degli strumenti digitali. I servizi presso cui passo con il mio browser, al limite, dovrebbero solo apporre il loro visto, non chiedermi dati inutili per profilarmi. Come un timbro sul dorso della mano a un concerto: non mi viene chiesta la mia carta d'identità, e nemmeno chi sono i miei amici, i miei gusti e preferenze, la mia situazione sentimentale, e in generale tutti i dati a disposizione dei servizi che gestiscono le nostre identità online. L'idea che qualcuno possa autenticarmi da fuori si basa sul furto dei miei dati personali (cosa che avviene regolarmente quando compiliamo form di registrazione presso un servizio).

Il postulato ideologico forte che andrebbe difeso è che l'autenticazione, intesa come verifica dell'identità, è un processo troppo importante per essere lasciato nelle mani di qualcun altro (macchine, istituzioni, aziende...) che dovrebbe occuparsi di garantire la nostra navigazione «autenticata», e in realtà sbava per profilarci nella speranza di venderci qualche inutile gadget personalizzato, o di venderci proprio al miglior offerente, nel caso in cui fossimo per qualche ragione «interessanti»: polizia, servizi, governi autoritari44. Invece siamo entusiasticamente complici di una profilazione sempre più accurata, nel nome della trasparenza radicale, grazie alla quale l'ingegneria sociale si trova a disposizione un immenso campo di sperimentazione.

32) Si veda il grafico interattivo di Matt McKeon, http://mattmckeon.com/Facebook-privacy/  

33) Danah Boyd, Facebook and radical transparency (a rant) http://www.zephoria.org/thoughts/archives/2010/05/14/Facebook-and-radical-transparency-a-rant.html  

34) David Kirkpatrick, op. cit., pp. 210. 

35) David Kirkpatrick, op. cit., pp. 210-211. 

36) Il popolare termine data mining è vago e non tecnico. L'analisi dei dati tramite sistemi semi-automatici è un campo di ricerca vastissimo ed eterogeneo. Per semplificare, possiamo dire che nel complesso il data mining non s'interessa all'individuazione di persone reali, ma all'estrazione di correlazioni significative in grandi quantità di dati tramite procedure matematiche: ad esempio, di schemi interessanti in gruppi di dati aggregati (cluster analisys), o di dati fuori dalla norma (anomaly detection). L'attività di data mining diventa critica nel momento in cui viene finalizzata alla profilazione degli utenti, specialmente per scopi di sorveglianza. È a questa specifica declinazione del data mining che ci riferiremo. 

37) Si veda Duncan Campbell. Il mondo sotto sorveglianza. Echelon e lo spionaggio elettronico globale, Elèuthera, Milano, 2003. 

38) Si veda Vecna, LIP, informazione/controllo/sicurezza/internet, Lugano, 2009 http://www.delirandom.net/20091007/lip-informazionecontrollosicurezzainternet/ 

39) Si veda la postfazione a Ippolita, Le côte obscur de Google, cit. Payot et Rivages, Paris, 2011.  

40) Si veda Arvind Narayanan, Vitaly Shmatikov, «De-anonymizing Social Networks», 2009 IEEE Symposium on Security and Privacy, DOI Bookmark: http://doi.ieeecomputersociety.org/10.1109/SP.2009.22  

41) Attacking Unmasks users behind the browser, http://www.darkreading.com/insider-threat/167801100/security/application-security/223100436/index.html; il paper tecnico: A Practical Attack to De-Anonymize Social Network Users http://www.iseclab.org/papers/sonda-TR.pdf  

42) Supercookies LSO: http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/; a nostra conoscenza, uno strumento di rimozione efficace (ma che non impedisce la profilazione) è Better Privacy https://addons.mozilla.org/en-US/firefox/addon/6623  

43) Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov, Matei Ripeanu , «The Socialbot Network: When Bots Socialize for Fame and Money», University of British Columbia Vancouver, Canada, 2011. http://lersse-dl.ece.ubc.ca/record/264/files/ACSAC_2011.pdf  

44) Proposta di un protocollo di autenticazione autogestito dagli utenti: http://www.uaiprotocol.org/