I broker di dati rappresentano una realtà severa nell’economia attuale dell’internet, dove le attività degli utenti vengono tracciate, aggregate per poi essere vendute al miglior offerente. Una realtà che si rivela rischiosa sia per la privacy degli utenti che per la sicurezza nazionale. Ad esempio, la facilità con cui i dati personali di militari americani possono essere acquistati rappresenta solamente un esempio di come l’industria dei broker di dati possa essere utilizzata per prendere di mira gruppi sensibili. Per un attore malevolo, l’unico vero limite a come l’industria possa abilitare frodi, abusi e violenze sta nella fantasia e persistenza di quest’ultimo.
Data la mancanza di regolamentazione, è fondamentale che il Congresso intervenga rapidamente per regolare questo settore implementando regole di “know your customer” (KYC), le quali imporrebbero particolari requisiti affinché i broker di dati verifichino i loro clienti. In assenza di una legislazione sulla privacy ampia, il Congresso dovrebbe impedire con urgenza i peggiori abusi dell’industria dei broker di dati costringendo i suoi attori a compiere passaggi essenziali per verificare l’identità dei loro clienti. Un approccio basato sul rischio, che collochi i dati più sensibili dietro le massime barriere di identificazione, risulta una soluzione ragionevole ed efficace.
Al giorno d’oggi, pochi broker di dati cercano di identificare i loro clienti prima di permettere loro di acquistare dati. I dati venduti da questi intermediari includono campi sensibili, come l’indirizzo di casa, il reddito o l’affiliazione politica, che possono essere usati per ricattare militari, truffare gli anziani, e persino trovare e uccidere il figlio di un giudice. Abbiamo scoperto che i controlli KYC in tutto il settore dei broker di dati sono selvaggiamente incoerenti e facili da evitare; un attore malevolo può acquistare dati sensibili in modo anonimo semplicemente trovando e sfruttando broker che fanno un pessimo lavoro nell’implementare controlli KYC (se ne implementano affatto).
I broker di dati sono aziende che raccolgono silenziosamente, scambiano, inferiscono, aggregano e, infine, vendono dati, compresi quelli su persone. La definizione di broker di dati che usiamo copre una vasta gamma di imprese, dalle agenzie di segnalazioni creditizie ben note alle aziende che raccolgono dati GPS dai cellulari e li utilizzano per inferire informazioni su un individuo, come la sua religione o i suoi hobby. Molti broker di dati fanno enormi sforzi per oscurare le loro attività di raccolta dati, e possiedono dati altamente sensibili su consumatori di solito ignari, inclusi contatti, religione e orientamento sessuale. I broker lavorano duramente per raccogliere silenziosamente dati sensibili, ma quando si tratta di scegliere i loro acquirenti, abbiamo scoperto che molti broker non fanno praticamente alcuno sforzo per identificare i potenziali clienti.
“Conoscere il tuo cliente” è un termine generico per le imprese che svolgono un minimo livello d’identificazione del cliente e valutano il rischio che il cliente commetta un crimine. Questi controlli variano da requisiti normativi a processi interni implementati volontariamente dalle aziende. Ad esempio, il Titolo III del Patriot Act ha imposto requisiti KYC alle istituzioni finanziarie, che sono stati istituiti per prevenire il finanziamento del terrorismo oltre a frodi e furti d’identità.
I broker di dati in genere non affrontano tali requisiti. Il nostro studio sui broker di dati e personale militare ha chiarito questo punto, quando il nostro team ha acquistato dati inviando e-mail a broker di dati statunitensi dai domini “datamarketresearch.org” e “dataanalytics.asia”. Nonostante l’utilizzo di domini e-mail vaghi, siti web ampi o inesistenti e numeri di telefono Google Voice che avrebbero dovuto suscitare sospetti, siamo stati in grado di acquistare dati su migliaia di militari in servizio attivo senza fornire dettagli sulla nostra identità o sull’uso inteso dei dati. Questi dati includevano nomi, indirizzi di casa, religioni, stato civile, numero di figli, e molti altri campi sensibili, tutto per soli 12 centesimi per record.
Abbiamo fatto tutto ciò senza usare il raggiro. Non abbiamo divulgato proattivamente le nostre identità, ma non ci siamo mai spacciati per dipendenti di un’entità legale o abbiamo mentito sul nostro ruolo. Invece, abbiamo usato un linguaggio generale: eravamo semplicemente un “team di ricerca” che faceva “ricerche di mercato sui dati”. Per alcuni broker di dati, questo è stato un problema; hanno chiesto il nome della nostra società legale o hanno smesso di rispondere alle nostre e-mail. Ma per altri, i controlli KYC erano apparentemente inesistenti.
Un broker di dati ci ha chiesto una telefonata per confermare la nostra identità, ma poi ha offerto di saltare la verifica dell’identità se avessimo pagato con bonifico (cosa che abbiamo fatto). Un altro broker ha detto che non poteva “verificare [la nostra] azienda e il suo dominio è .asia“, prima di cercare di invogliarci ad acquistare più dati di quanti ne avessimo inizialmente chiesti – e poi li ha venduti. Altri hanno chiesto se avremmo contattato le persone nel dataset e per un pezzo di corrispondenza di esempio, ma non hanno cercato di verificare la nostra risposta (veritiera) che non avremmo contattato nessuno. Anche acquistare dati su militari americani da un dominio ed e-mail .asia – compresi campi sensibili come religione ed etnia georeferenziata a luoghi come Fort Liberty (precedentemente, Fort Bragg) – non ha sollevato alcuna bandiera rossa.
Questo parla di un problema maggiore che affrontano i consumatori e la sicurezza nazionale degli Stati Uniti. Un attore malevolo potrebbe facilmente mentire per aggirare molti controlli KYC lassi dei broker di dati, o semplicemente trovare un broker con pratiche di KYC praticamente nulle, come il broker di dati di posizione Kochava. Il risultato finale è ottenere dati sensibili, non pubblici, individuati personalmente sul personale militare e su molti altri americani.
Per affrontare questi rischi, il Congresso dovrebbe promulgare requisiti KYC a livello di settore per la vendita di dati da parte dei broker di dati, inclusi l’identificazione delle identità dei compratori, l’uso previsto e la giustificazione per l’ottenimento di campi di dati sensibili. Privacy e sicurezza sono in gioco e merita una proposta ben ponderata.
- Techcrunch – Data brokers: Why Congress needs to do more in the data economy
- Documentcloud – Federal Trade Commission: Complaint against Data Broker Kochava
- technpolicy.sanfrod.duk.edu – Data brokers and the sale of data on US millitary personnel
- cyberscoop – FTC sues data broker over location data from abortion clinic protesters