La Casaleggio ha sottratto i dati degli utenti come Cambridge Analytica? La risposta potrebbe darla il Garante

Un’applicazione del 2013 come quella di Cambridge Analytica? Attenzione, solo il Garante potrebbe dirlo

Su Linkiesta è stato pubblicato un articolo dal titolo diretto e accusatorio: «Scoop, la Casaleggio ha sottratto i dati personali di utenti Facebook tre anni prima di Cambridge Analytica». Al suo interno la denuncia di un ex dipendente della Casaleggio Associati, Marco Canestrari, il quale racconta di un’applicazione Facebook lanciata nel 2013 per gli attivisti del Movimento.

Gli attivisti, una volta accettati i termini dell’applicazione, dovevano diffondere le idee e il programma del Movimento 5 Stelle via Facebook per ottenere punti utili per ricevere un premio speciale: i primi 100 classificati avrebbero cenato insieme a Beppe Grillo. In poche parole, una sorta di “Vinci Salvini” prima dell’iniziativa lanciata da Morisi nel 2018, anche questa accusata di poter accedere ai dati degli utenti che accettavano di partecipare al contest.

Sono stati sottratti dati?

Il titolo dell’articolo de Linkiesta propone un paragone con Cambridge Analytica, e chi si ferma alla lettura dello stesso – senza consultare l’intero pezzo fino alla fine – potrebbe pensare che ci siano state violazioni simili a quelle della società coinvolta nello scandalo americano. Lo stesso Marco Canestrari – si legge nell’articolo – in merito ai dati che l’applicazione poteva raccogliere sostiene che «Non possiamo sapere se li hanno effettivamente scaricati, né che cosa ne abbiano fatto».

Una risposta definitiva potrebbe arrivare nel caso intervenisse il Garante per verificare se è avvenuta realmente un’attività simile a quella di Cambridge Analytica. Infatti Canestrari conclude così: «Bisognerebbe chiedere al Garante se hanno tabelle da poter confrontare, oppure indurlo ad aprire una nuova istruttoria ma credo sia passato troppo tempo». Nel frattempo non è mancata la risposta di Davide Casaleggio, diffusa questo pomeriggio attraverso le agenzie:

(ANSA) – ROMA, 4 DIC – La Casaleggio Associati nega di aver
impropriamente utilizzato i dati dei propri utenti ed annuncia
di aver proceduto per le vie legali a “tutela” della propria
reputazione.
“In merito all’articolo ‘Scoop, la Casaleggio Associati ha
sottratto dati personali di utenti Facebook tre anni prima di
Cambridge Analytica’ pubblicato dal sito www.linkiesta.it,
Casaleggio Associati precisa che in maniera completamente errata
è stato comparato un caso in cui sono stati utilizzati milioni
di dati senza il consenso degli utenti, a un caso profondamente
diverso in cui legittimamente un sito chiedeva individualmente
alle singole persone di poter utilizzare alcuni dati per
verificare la propria classifica di attivismo (es. per aver
cambiato la propria immagine di facebook, o avere tanti amici
che utilizzavano l’app)” si legge in una nota in cui si precisa
che “i dati raccolti nel 2013 non sono stati utilizzati dalla
Casaleggio Associati per altre finalità e sono poi stati
cancellati alla fine dell’iniziativa in piena sintonia con la
legge, con le politiche di Facebook e con la normativa sulla
privacy”.
La Casaleggio Associati, dunque, “ha proceduto a tutelare la
propria reputazione per vie legali già nella giornata di oggi
nei confronti de Linkiesta. Questa azione legale si somma a
molte altre già attive e diverse già concluse con successo
contro una diffamazione sistematica da parte di alcune testate o
singoli individui che hanno già dovuto pagare per il danno
arrecato”.(ANSA).

Cambridge Analytica

Che cosa ha fatto Cambridge Analytica? Attraverso un’applicazione chiamata «This Is Your Digital Life», che doveva perseguire puramente scopi accademici, la società aveva raccolto i dati personali degli utenti Facebook e dei loro amici che poi sono stati ingiustamente utilizzati da varie organizzazioni politiche. Casaleggio ha fatto lo stesso con l’applicazione del 2014? Non è dato saperlo al 100% e spieghiamo perché.

Alexander Nix, ex CEO di Cambridge Analytica.

L’applicazione 5 Stelle

Attraverso il servizio fornito da Archive.org è possibile accedere a un salvataggio – datato 19 giugno 2013 – della pagina del sito del Movimento da dove è possibile accettare i termini relativi alla privacy dei dati e accedere a Facebook per autorizzare l’applicazione. Quest’ultima, attualmente, risulta non accessibile al pubblico. Ecco il messaggio di errore:

App non configurata: Questa app è ancora in modalità di sviluppo e non devi accedervi. Passa a un utente test registrato o chiedi le autorizzazioni a un amministratore dell’app.

La prima impressione è che non possiamo visualizzare le richieste dell’applicazione per quanto riguarda l’accesso ai dati dell’utente che vuole partecipare all’iniziativa. In realtà è possibile controllarlo tramite l’Url del link pubblicato nel sito del Movimento, il quale risulta composto in questa maniera (la spiegazione per i non esperti la trovate subito sotto):

https://www.facebook.com/dialog/oauth?

client_id=463125347084277

&redirect_uri=https%3A%2F%2Fwww.beppegrillo.it%2Fmovimento%2Fattivista5stelle%2F

&state=1220d060287557e273cc4815931610d8

&scope=user_about_me%2Cuser_birthday%2Cuser_events%2Cuser_groups%2Cuser_hometown%2Cuser_interests%2Cuser_likes%2Cuser_religion_politics%2Cuser_location%2Cfriends_about_me%2Cfriends_birthday%2Cfriends_events%2Cfriends_groups%2Cfriends_hometown%2Cfriends_interests%2Cfriends_likes%2Cfriends_religion_politics%2Cfriends_location%2Cemail%2Cread_stream%2Ccreate_event%2Coffline_access%2Cpublish_stream

Gli accessi ai dati richiesti

L’Url presenta diverse variabili che servono a Facebook per riconoscere l’applicazione, la pagina alla quale bisogna reindirizzare l’utente una volta accettata e i dati che l’utente autorizza a fornire. Questi ultimi sono presenti sotto la variabile «scope» partendo dai dati personali del singolo utente:

  • user_about_me
  • user_birthday
  • user_events
  • user_groups
  • user_hometown
  • user_interests
  • user_likes
  • user_religion_politics
  • user_location
  • email
  • read_stream
  • create_event
  • offline_access
  • publish_stream

Oltre ai dati personali dell’utente, quest’ultimo autorizza all’applicazione di raccogliere i seguenti dati dei suoi amici:

  • friends_about_me
  • friends_birthday
  • friends_events
  • friends_groups
  • friends_hometown
  • friends_interests
  • friends_likes
  • friends_religion_politics
  • friends_location

Le domande che si potrebbero porre una volta lette queste richieste sono le seguenti:

  • A che pro richiedere i dati degli amici? Non bastavano quelli dell’utente singolo?
  • Questi dati sono stati effettivamente scaricati e utilizzati in qualche modo per attività diverse da quelle necessarie per l’iniziativa?
  • I dati sono stati conservati e per quanto tempo?
  • Quanti utenti sono stati eventualmente coinvolti?

Davide Casaleggio ha fornito risposta nel comunicato in cui annuncia querela nei confronti de Linkiesta:

[l’applicazione, ndr] chiedeva individualmente
alle singole persone di poter utilizzare alcuni dati per
verificare la propria classifica di attivismo (es. per aver
cambiato la propria immagine di facebook, o avere tanti amici
che utilizzavano l’app)

[…] i dati raccolti nel 2013 non sono stati utilizzati dalla
Casaleggio Associati per altre finalità e sono poi stati
cancellati alla fine dell’iniziativa in piena sintonia con la
legge, con le politiche di Facebook e con la normativa sulla
privacy.

Risposte che potrebbero essere confermate eventualmente in sede legale, così come attraverso un eventuale intervento del Garante nel caso decidesse di agire.

Un esempio di schermata di autorizzazione per l’applicazione JibJab del 2010 pubblicata su Techcrunch.com

Quali permessi si potevano ottenere su Facebook?

Potenzialmente un’applicazione poteva ottenere molti permessi, come per esempio pubblicare post a nome dell’utente. Vi siete mai domandati come mai qualche vostro amico pubblicava un’immagine con la truffa dei Ray-Ban a 29 euro con i link per l’acquisto su falsi store? Ecco, questi avevano molto probabilmente accettato qualche applicazione che ha permesso ai malintenzionati di pubblicare a loro nome l’esca per attirare utenti. Ovviamente, non è il caso (giusto dirlo) delle applicazioni citate negli screenshot di questo articolo.

Screenshot dei permessi per l’applicazione Video-Chat and Phone pubblicata su Medium nel 2016.