Nel fine settimana appena trascorso, Guardian e New York Times hanno pubblicato una serie di articoli che dimostrano l’uso scorretto di un’enorme quantità di dati prelevati da Facebook, da parte di un’azienda di consulenza e per il marketing online che si chiama Cambridge Analytica. La vicenda non è interessante solo perché dimostra – ancora una volta – quanto Facebook fatichi a tenere sotto controllo il modo in cui sono usati i suoi dati (che in fin dei conti sono i nostri dati), ma anche perché Cambridge Analytica ha avuto importanti rapporti con alcuni dei più stretti collaboratori di Donald Trump, soprattutto durante la campagna elettorale statunitense del 2016 che lo ha poi visto vincitore. La storia ha molte ramificazioni e ci sono aspetti da chiarire, compreso l’effettivo ruolo di Cambridge Analytica ed eventuali suoi contatti con la Russia e le iniziative per condizionare le presidenziali statunitensi e il referendum su Brexit nel Regno Unito. Ma partiamo dall’inizio.

Che cos’è Cambridge Analytica

Cambridge Analytica è stata fondata nel 2013 da Robert Mercer, un miliardario imprenditore statunitense con idee molto conservatrici che tra le altre cose è uno dei finanziatori del sito d’informazione di estrema destra Breitbart News, diretto da Steve Bannon (che è stato consigliere e stratega di Trump durante la campagna elettorale e poi alla Casa Bianca). Cambridge Analytica è specializzata nel raccogliere dai social network un’enorme quantità di dati sui loro utenti: quanti “Mi piace” mettono e su quali post, dove lasciano il maggior numero di commenti, il luogo da cui condividono i loro contenuti e così via. Queste informazioni sono poi elaborate da modelli e algoritmi per creare profili di ogni singolo utente, con un approccio simile a quello della “psicometria”, il campo della psicologia che si occupa di misurare abilità, comportamenti e più in generale le caratteristiche della personalità. Più “Mi piace”, commenti, tweet e altri contenuti sono analizzati, più è preciso il profilo psicometrico di ogni utente.

Cosa se ne fa Cambridge Analytica dei dati

Oltre ai profili psicometrici, Cambridge Analytica ha acquistato nel tempo molte altre informazioni, che possono essere ottenute dai cosiddetti “broker di dati”, società che raccolgono informazioni di ogni genere sulle abitudini e i consumi delle persone. Ogni giorno lasciamo dietro di noi una grande quantità di tracce su ciò che facciamo, per esempio quando usiamo le carte fedeltà nei negozi o quando compriamo qualcosa su Internet. Immaginate la classica situazione per cui andate sul sito di Amazon, cercate un prodotto per vederne il prezzo, poi passate a fare altro e all’improvviso vi trovate su un altro sito proprio la pubblicità di quel prodotto che eravate andati a cercare. Ora moltiplicate questo per milioni di utenti e pensate a qualsiasi altra condizione in cui la loro navigazione possa essere tracciata. Il risultato sono miliardi di piccole tracce, che possono essere messe insieme e valutate. Le informazioni sono di solito anonime o fornite in forma aggregata dalle aziende per non essere riconducibili a una singola persona, ma considerata la loro varietà e quantità, algoritmi come quelli di Cambridge Analytica possono lo stesso risalire a singole persone e creare profili molto accurati sui loro gusti e su come la pensano.

Cambridge Analytica dice di avere sviluppato un sistema di “microtargeting comportamentale”, che tradotto significa: pubblicità altamente personalizzata su ogni singola persona. I suoi responsabili sostengono di riuscire a far leva non solo sui gusti, come fanno già altri sistemi analoghi per il marketing, ma sulle emozioni degli utenti. Se ne occupa un algoritmo che era stato inizialmente sviluppato dal ricercatore di Cambridge Michal Kosinski, che da anni lavorava per migliorarlo e renderlo più accurato. Il modello era studiato per prevedere e anticipare le risposte degli individui. Kosinski sostiene che siano sufficienti informazioni su 70 “Mi piace” messi su Facebook per sapere più cose sulla personalità di un soggetto rispetto ai suoi amici, 150 per saperne di più dei genitori del soggetto e 300 per superare le conoscenze del suo partner. Con una quantità ancora maggiore di “Mi piace” è possibile conoscere più cose sulla personalità rispetto a quante ne conosca il soggetto.

Ok, ma Facebook cosa c’entra?

Per capire il ruolo di Facebook nella vicenda dobbiamo fare qualche passo indietro: fino al 2014, anno in cui un altro ricercatore dell’Università di Cambridge, Aleksandr Kogan, realizzò un’applicazione che si chiamava “thisisyourdigitallife” (letteralmente “questa è la tua vita digitale”), una app che prometteva di produrre profili psicologici e di previsione del proprio comportamento, basandosi sulle attività online svolte. Per utilizzarla, gli utenti dovevano collegarsi utilizzando Facebook Login, il sistema che permette di iscriversi a un sito senza la necessità di creare nuovi username e password, utilizzando invece una verifica controllata da Facebook. Il servizio è gratuito, ma come spesso avviene online è in realtà “pagato” con i dati degli utenti: l’applicazione che lo utilizza ottiene l’accesso a indirizzo email, età, sesso e altre informazioni contenute nel proprio profilo Facebook (l’operazione è comunque trasparente: Facebook mostra sempre una schermata di riepilogo con le informazioni che diventeranno accessibili).

Tre anni fa circa 270mila persone si iscrissero all’applicazione di Kogan utilizzando Facebook Login, accettando quindi di condividere alcune delle loro informazioni personali. All’epoca Facebook permetteva ai gestori delle applicazioni di raccogliere anche alcuni dati sulla rete di amici della persona appena iscritta. In pratica, tu t’iscrivevi e davi il consenso per condividere alcuni dei tuoi dati e l’applicazione aveva il diritto di raccogliere altre informazioni dai tuoi amici, senza che fossero avvisati (la possibilità era comunque indicata nelle infinite pagine delle condizioni d’uso di Facebook). In seguito Facebook valutò che la pratica fosse eccessivamente invasiva e cambiò i suoi sistemi, in modo che le reti di amici non fossero più accessibili alle app che utilizzano Facebook Login.

L’applicazione di Kogan fece in tempo a raccogliere i dati sulle reti di amici dei 270mila suoi iscritti, arrivando quindi a memorizzare informazioni di vario tipo su 50 milioni di profili Facebook (la stima è del New York Times e del Guardian: per alcuni è sovradimensionata, per altri comprende per lo più dati inutili). Kogan fu quindi in grado di costruire un archivio enorme, comprendente informazioni sul luogo in cui vivono gli utenti, i loro interessi, fotografie, aggiornamenti di stato pubblici e posti dove avevano segnalato di essere andati (check-in).

Ma se Facebook lo lasciava fare, dov’è il problema?

Fino a quando l’app di Kogan ha raccolto dati sulle reti social degli utenti non c’è stato nulla di strano, perché in quel periodo la pratica era consentita. I problemi sono nati dopo, quando Kogan ha condiviso tutte queste informazioni con Cambridge Analytica, violando i termini d’uso di Facebook. Il social network vieta infatti ai proprietari di app di condividere con società terze i dati che raccolgono sugli utenti. Per i trasgressori sono previste sanzioni come la sospensione degli account, provvedimento che può determinare la fine del tuo intero modello di business, se questo si basa sui dati e le possibilità di accesso all’applicazione che hai costruito tramite il social network. A quanto sembra, nel caso di Cambridge Analytica la sospensione è arrivata molto tardivamente.

Christopher Wylie, ex dipendente di Cambridge Analytica e principale fonte del Guardian per questa storia, sostiene che Facebook fosse al corrente del problema da circa due anni. Come sostengono anche i legali dell’azienda, temendo una sospensione fu la stessa Cambridge Analytica ad autodenunciarsi con Facebook, dicendo di avere scoperto di essere in possesso di dati ottenuti in violazione dei termini d’uso e di averne disposto subito la distruzione. Se così fosse, però, non è chiaro perché Facebook abbia deciso di sospendere Cambridge Analytica solo venerdì 16 marzo, e solo dopo essere venuto a conoscenza dell’imminente pubblicazione degli articoli sul caso da parte del Guardian e del New York Times.

Suspended by @facebook. For blowing the whistle. On something they have known privately for 2 years. pic.twitter.com/iSu6VwqUdG — Christopher Wylie ?️‍? (2020 Home Edition) (@chrisinsilico) March 18, 2018

Falla? Quale falla?

I giornalisti del Guardian dicono di avere ricevuto forti pressioni da Facebook nei giorni prima della pubblicazione degli articoli, soprattutto per non definire “falla” il meccanismo che consentì a Kogan e poi a Cambridge Analytica di ottenere quell’enorme quantità di dati. Una singola parola può sembrare poca cosa, ma in realtà è centrale in questa vicenda. Da un punto di vista prettamente informatico e di codice non c’è stata nessuna falla: Kogan non ottenne i dati sfruttando qualche errore o buco nel codice che fa funzionare Facebook, semplicemente sfruttò un sistema che all’epoca era lecito e contemplato nelle condizioni d’uso. L’integrità informatica di Facebook non è stata quindi violata in nessun modo, e su questo punto i suoi responsabili puntano comprensibilmente molto per tranquillizzare gli utenti e ridimensionare l’accaduto. D’altra parte, non si può negare che le condizioni d’uso di Facebook fossero “fallate”, visto che permettevano una raccolta di informazioni sproporzionata e senza che se ne potessero rendere facilmente conto le persone comprese nelle reti di amici. Il fatto che la pratica fosse lecita non riduce la sua portata o gli effetti che poi nei fatti ha avuto.

Ricapitolando:

• c’è una società vicina alla destra statunitense, Cambridge Analytica, che raccoglie dati personali per creare profili psicologici degli utenti da usare in campagne di marketing super mirate;

• viene sospesa di colpo da Facebook con l’accusa di avere usato dati raccolti sul social network che non le appartenevano;

• Guardian e New York Times pubblicano articoli accusando Facebook di avere reso possibile la raccolta, seppure non attivamente, e di avere poi sottovalutato o nascosto la cosa.

Ora che abbiamo raccolto le idee, possiamo passare all’ultima parte della storia: cosa c’entrano Trump e Brexit.

Trump e le presidenziali del 2016

Venerdì 16 marzo il procuratore speciale Robert Mueller, che indaga sulle presunte interferenze della Russia nelle elezioni statunitensi e sull’eventuale coinvolgimento di Trump, ha chiesto che Cambridge Analytica fornisca documenti sulle proprie attività. Il sospetto è che l’azienda abbia in qualche modo facilitato il lavoro della Russia per fare propaganda contro Hillary Clinton e a favore di Trump.

Nell’estate del 2016, il comitato di Trump affidò a Cambridge Analytica la gestione della raccolta dati per la campagna elettorale. Jared Kushner, il genero di Donald Trump, aveva assunto un esperto informatico, Brad Pascale, che era poi stato contattato da Cambridge Analytica per fargli provare le loro tecnologie. Steve Bannon, all’epoca capo di Breitbart News e manager della campagna elettorale, sostenne l’utilità di avere una collaborazione con Cambridge Analytica, di cui era stato vicepresidente. Non sappiamo quanto l’azienda abbia collaborato né con quali strumenti, ma dalle indagini condotte finora (giudiziarie, parlamentari e giornalistiche) sappiamo che comunque l’attività online pro-Trump fu molto organizzata e su larga scala.

Furono usate grandi quantità di account fasulli gestiti automaticamente (“bot”) per diffondere post, notizie false e altri contenuti contro Hillary Clinton, modulando la loro attività a seconda dell’andamento della campagna elettorale. Gli interventi erano quasi sempre in tempo reale, per esempio per riempire i social network di commenti durante i dibattiti televisivi tra Trump e Clinton, gli eventi più attesi e seguiti dagli elettori. Ogni giorno venivano prodotte decine di migliaia di annunci pubblicitari, sui quali misurare la risposta degli utenti online e ricalibrarli privilegiando quelli che funzionavano di più. Tutte attività sulle quali da anni Cambridge Analytica dice di avere grandi capacità e conoscenze.

Cambridge Analytica e la Russia

Anche grazie a un’inchiesta del Wall Street Journal, dalla scorsa estate ci sono nuovi e consistenti indizi sul fatto che Michael Flynn, l’ex consigliere della sicurezza nazionale di Trump, avesse stretti legami con la Russia e le attività per interferire nelle elezioni. Da un documento fiscale sappiamo inoltre che Flynn ebbe un ruolo da consigliere per una società legata all’analisi di dati online che ha aiutato il comitato elettorale di Trump. Quell’azienda era proprio Cambridge Analytica, che ora sta collaborando con la giustizia statunitense, negando comunque di avere fatto qualcosa di illecito.

Al momento non sappiamo se la grande quantità di dati raccolta da Cambridge Analytica, comprese le informazioni ottenute da Facebook, sia stata passata alla Russia. E se così fosse non è comunque detto che sia stata direttamente Cambridge Analytica a farlo. Non sappiamo nemmeno di quanto si sia avvalso degli strumenti dell’azienda il comitato di Trump, a fronte del grande impegno online per la propaganda elettorale.

Brexit

Nel maggio del 2017 il Guardian aveva già dedicato una lunga inchiesta a Cambridge Analytica e al suo ruolo nella campagna referendaria per Brexit. Secondo l’articolo, l’azienda aveva collaborato alla raccolta di dati e informazioni sugli utenti, utilizzati poi per condizionarli e fare propaganda a favore dell’uscita del Regno Unito dall’Unione Europea. Tramite Mercer, Bannon e lo stesso Trump, la società era di fatto in contatto con i principali sostenitori del “Leave” compreso il leader del partito populista UKIP, Nigel Farage. Il Guardian aveva anche messo in evidenza strani passaggi di denaro verso il comitato del “Leave”. Dopo quell’articolo, Cambridge Analytica avviò un’azione legale contro il Guardian.

Ok, ma anche Obama “vinse grazie a Facebook”

In molti hanno fatto notare che i sistemi utilizzati da Cambridge Analytica sono tali e quali alle soluzioni impiegate dai comitati elettorali di Barack Obama nel 2008 e nel 2012, quando fu eletto per due volte presidente degli Stati Uniti. In parte è vero: durante le due campagne elettorali fu raccolta una grande mole di dati sugli utenti per indirizzare meglio pubblicità politiche e coinvolgerli online. Dalla seconda elezione di Obama a quella di Trump sono però passati quattro anni, un periodo di tempo che ha permesso ulteriori evoluzioni dei sistemi per produrre campagne mirate e soprattutto per raccogliere molti più dati e incrociarli tra loro. Il comitato elettorale di Obama parlava a generici gruppi di persone con interessi comuni, Cambridge Analytica a utenti per i quali individua profili psicologici e comportamentali in modo molto più raffinato.

Fumo e arrosto

In tutta questa vicenda al momento ci sono moltissimo fumo e indizi che qualcosa sia effettivamente bruciato, ma nessuno ha ancora trovato l’arrosto, la prova definitiva e incontrovertibile, soprattutto sugli eventuali legami tra Trump, Russia e Cambridge Analytica. Alcune valutazioni nell’inchiesta sul Guardian suonano un po’ esagerate, considerato che molte cose sul funzionamento di Cambridge Analytica e sulla raccolta dati tramite Facebook erano già note.

L’inchiesta del Guardian ha però il pregio di portare nuovi elementi nel grande dibattito sulle notizie false, sulla propaganda e sulla facilità di diffusione di questi contenuti tramite un uso distorto dei social network. Dimostra che Facebook è probabilmente in buona fede, ma continua ad avere un enorme problema nel garantire che non si faccia un uso non autorizzato dei nostri dati. Facebook continua a fidarsi troppo degli sviluppatori e a non avere strumenti per prevenire un utilizzo distorto dei dati: può punire chi non rispetta le regole, ma non può fare molto per evitare che i dati siano consegnati ad altri e poi ad altri ancora, come probabilmente è avvenuto nel caso di Cambridge Analytica. La posizione di Facebook è ulteriormente complicata dal fatto che usa sistemi di raccolta e analisi simili per il suo servizio di marketing interno, attraverso cui tutti possono organizzare campagne pubblicitarie sul social network, e che costituisce la sua principale fonte di ricavo.

Lo stesso problema riguarda buona parte delle altre aziende attive online e che offrono gratuitamente i loro servizi, in cambio della pubblicità e della raccolta di informazioni sugli utenti. In misure diverse, vale per esempio per Google e Twitter. Mentre negli ultimi anni l’Unione Europea ha avviato iniziative per arginare il problema, inasprendo le regole sulla privacy, negli Stati Uniti il mercato dei dati non ha subìto particolari limitazioni. Le richieste negli ultimi giorni di politici e membri del Congresso a Facebook di chiarire meglio la propria posizione, chiedendo che sia anche organizzata un’audizione parlamentare per il CEO Mark Zuckerberg, indicano che qualcosa potrebbe cambiare anche negli Stati Uniti. Una regolamentazione più precisa è del resto attesa da tempo da organizzazioni e attivisti per la tutela della privacy online.