Dati personali di oltre 2,7 miliardi di persone pubblicati online: com'è potuto succedere

Come reagireste se veniste a conoscenza del fatto che un’azienda privata effettua una raccolta di informazioni (scraping) da fonti “non pubbliche” creando un database aggiornato usando anche dati che vi riguardano direttamente? È proprio quello che sembra abbia fatto National Public Data (NPD), un “serbatoio” di informazioni personali sviluppato e mantenuto da una società statunitense.

Malwarebytes spiega che NPD è stato ideato da una società che offre servizi a pagamento per il controllo dei precedenti penali. Effettuando un’interrogazione mirata, gli utenti del servizio possono svolgere ricerche e ottenere risposte immediate attingendo al contenuto di un database ospitante miliardi di record. “I dati in questi record sono estratti da fonti non pubbliche, senza mettere a conoscenza gli interessati e senza raccogliere il loro consenso“, osserva Malwarebytes.

Tornando al quesito posto in apertura, negli USA è stata già avviata una class action contestando non soltanto l’esistenza del database ma anche il fatto che il gestore di NPD non ha protetto e salvaguardato adeguatamente le informazioni di identificazione personale acquisite come parte delle sue pratiche commerciali.

Pubblicati i oltre 2,7 miliardi di record appartenenti a inconsapevoli cittadini

Ad aprile 2024 aveva fatto rumore la notizia della sottrazione di dati a NPD, rivenduti da un gruppo hacker qualificatosi con l’appellativo di USDoD, per la somma di 3,5 milioni di dollari. Sulla scorta di quell’annuncio è montata la protesta dei cittadini, culminata nella class action della quale abbiamo fatto menzione in precedenza.

La novità è che un altro membro del gruppo USDoD ha in questi giorni (agosto 2024) asserito di avere a disposizione l’intero database sgraffignato a NPD. Per dimostrarlo ha disposto una pubblicazione integrale dei dati razziati, sotto forma di un paio di file compressi in formato 7z (il primo pesa 31,2 GB, il secondo poco meno). A decompressione avvenuta, il totale delle informazioni – disponibili come file CSV – ha una dimensione che rasenta i 280 GB.

I file condivisi contengono nomi e cognomi, indirizzi di residenza, numeri telefonici, numeri di previdenza sociale (un po’ l’equivalente dei nostri codici fiscali) di un numero incalcolabile di persone. Stando alle prime analisi, i dati sembrano molto aggiornati e riguardano individui che hanno stabilito la loro residenza negli USA come in altri Paesi (certamente Regno Unito e Canada) almeno nel corso degli ultimi 30 anni.

Schedato ogni singolo cittadino

Ad oggi, NPD non ha confermato la violazione né ha rilasciato dichiarazioni in merito agli avvenimenti in corso. Il gruppo hacker, tuttavia, sostiene che nel database (adesso reso pubblico) risulta schedato ogni singolo cittadino. E altri studi legali stanno attivamente indagando sulla vicenda.

In ogni caso, i dati sono alla mercé di tutti perché, senza nemmeno operare una registrazione, basta utilizzare la cache di Google per accedere al post in cui il membro di USDoD annuncia la sua iniziativa e fornisce i link per il download del database in forma completa.

A questo proposito, vale la pena ricordare un importante ammonimento del Garante Privacy italiano. A valle di un data leak che nel 2021 coinvolse Facebook, osservò quanto segue: “il Garante avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione, che il loro eventuale utilizzo, anche per fini positivi, è vietato dalla normativa in materia di privacy, essendo tali informazioni frutto di un trattamento illecito“.

Quante riserve sull’operato dei data broker

I data broker sono aziende o entità che raccolgono, elaborano e vendono informazioni personali e dati relativi a individui o aziende. Questi dati possono essere acquisiti da una vasta gamma di fonti, sia online che offline, e sono utilizzati per creare profili dettagliati su individui o organizzazioni. I profili, a loro volta, possono includere informazioni demografiche, comportamentali, finanziarie, e molto altro.

Tutto il materiale emerso come conseguenza di incidenti informatici che investono data broker o realtà dedite allo scraping dei dati, può essere combinato con altri dati e dare origine a un vero e proprio tesoro di informazioni personali. Elementi preziosissimi che finiscono nelle mani dei criminali informatici.

Gli USA ancora indietro nella tutela della privacy

Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea stabilisce che il trattamento dei dati personali debba avvenire su una base giuridica adeguata. In particolare, il trattamento è considerato lecito solo se avviene con il consenso esplicito dell’interessato o per altre motivazioni specifiche, come l’esecuzione di un contratto o l’adempimento di un obbligo legale. La raccolta di dati personali tramite scraping, anche se le informazioni sono pubblicamente disponibili, può risultare illegittima allorquando non fosse rispettato il principio di limitazione della finalità, che richiede che i dati siano trattati solo per scopi specifici e legittimi.

Il web scraping, ad esempio, non è di per sé illecito. Recenti decisioni delle Autorità di protezione dei dati, come quelle del Garante Privacy italiano, hanno però evidenziato che la raccolta non autorizzata di dati personali tramite scraping può portare a sanzioni significative. Ad esempio, è stato vietato a un sito Web di creare un elenco telefonico attraverso attività di scraping, poiché non aveva una base giuridica adeguata per il trattamento dei dati. Inoltre, l’uso di tecniche di scraping per raccogliere dati personali senza il consenso degli interessati è considerato una violazione delle normative sulla protezione dei dati.

A voi le valutazioni rispetto alla vicenda rimbalzata in Europa dall’altro versante dell’oceano. Oltrettutto, se come scrive Malwarebytes le informazioni arrivano da scraping su fonti “non pubbliche”, viene da chiedersi su quali basi la società USA abbia svolto questo tipo di attività.

Credit immagine in apertura: iStock.com – D-Keine