Cercare l’anima gemella, un’avventura o anche un semplice appuntamento sul Web può essere molto rischioso per la privacy. I dati personali di ben 70mila iscritti al servizio di dating online OkCupid sono stati resi pubblici: la lista non comprende nessun nome e cognome e nessuna fotografia, ma in compenso include gli username, informazioni demografiche e una lista di informazioni piuttosto private, fra cui l’orientamento sessuale e le risposte alle 2.600 domande più frequenti che gli utenti compilano per definire la propria personalità e interessi. Si va dai quesiti più innocui, come le credenze sull’astrologia, fino al consumo di droghe e alle preferenze in camera da letto. A sorprendere di più è l’origine dell’operazione: non un attacco hacker, non un data breach qualsiasi, ma presunte motivazioni di indagine sociale di due ricercatori universitari danesi dell’Università di Aarhus.
Emil Kirkegaard e Julius Bjerrekær, questi i nomi (i due sono ancora studenti), hanno ottenuto i dati senza alcuna procedura illecita bensì semplicemente passando a tappeto il sito di OkCupid con un programma di raccolta automatica (un automatic scraper) in un periodo di quattro mesi, fra il novembre del 2014 e il marzo del 2015. Candidamente, i due nel loro studio pubblicato sull’Open Science Framework scrivono che “tutti i dati reperiti sono o erano pubblicamente disponibili, e dunque con la pubblicazione di questa raccolta vengono semplicemente presentati in una forma più leggibile”.
Viste le scandalizzate reazioni serpeggiate sul Web, l’ateneo danese si è però distaccato dal lavoro dei suoi due ricercatori, twittando che “Le opinioni e le azioni dello studente Emil Kirkegaard non rappresentano l’Università di Aarhus”. In effetti, se è vero che le informazioni potevano essere consultate “punto a punto” dagli iscritti a OkCupid, è altrettanto da sottolineare la responsabilità di chi utilizza un programma automatico per estrarle dal contesto e pubblicarle altrove.
L’aggravante risiede, poi, nella natura dei dati in questione e nel fatto che per una discreta fetta dei 70mila utenti sia possibile, tramite lo username, risalire all’identità anagrafica della persona. Complice l’abitudine di usare il medesimo soprannome su più servizi o forum e complice l’impiego di nome e cognome sui social network, un ricercatore dell’Università Carnegie Mellon, Scott B. Weingart, ha potuto affermare che, su ventimila profili esaminati, “con questi dettagli, a grandi linee stimo di poter collegare le preferenze sessuali e le cronologie a nomi reali di oltre diecimila utenti”.
In un caso su due, insomma, con un minimo di indagini online e di abilità è possibile risalire all’identità di una persona che ha, sì, svelato dettagli e informazioni personali su un servizio Web, ma nella convinzione di essere protetto dall’anonimato. E non è difficile capire come, oltre alla questione della privacy, un’operazione come quella dei due universitari danesi sollevi problemi di sicurezza personale ed esposizione a molestie online. Quel che è certo è che l’episodio presta il fianco a una riflessione non solo tecnica ma etica sulla responsabilità di chi divulga dati personali pur raccolti in modo lecito.
Online, intanto, sociologi, informatici e altri rappresentanti del mondo accademico hanno pubblicato una lettera aperta per chiedere all’Università di Aarhus un atto di condanna formale più significativo di un semplice tweet. Le accuse sono gravi: il fatto che gli iscritti a OkCupid abbiano dato il loro consenso per la pubblicazione di informazioni personali (come le risposte alle domande che definiscono i profili) non significa che gli stessi utenti avrebbero accettato di vederle esposte in una ricerca. “Le informazioni, di fatto, non erano pubbliche”, si legge nella lettera. “Dal codice utilizzato da Kirkegaard si capisce che per ottenere i dati ha dovuto eseguire il login al sito: e la registrazione di un account e il login rappresentano una pur debole barriera all’ingresso”. I profili, infatti, risultano visibili solo agli utenti registrati e non al comune internauta.
E non è tutto: in un ulteriore lavoro pubblicato sul giornale di cui è caporedattore, Kirkegaard ha utilizzato metodi statistici per evidenziare relazioni fra le risposte alle domande e l’orientamento eterosessuale od omosessuale degli utenti. Il tutto, senza che queste 70mila persone potessero immaginare un tale impiego dei loro dati, originariamente concessi per ben altre motivazioni. Le stesse premesse dello studio sono “ingiustificate e offensive”, prosegue il testo della lettera, ma la conseguenza più grave è un’altra: questa associazione fra orientamenti sessuali e dati che possono permettere l’identificazione “potenzialmente e gratuitamente espone persone emarginate allo stalking, a molestie e alla violenza di singoli, comunità o addirittura interi Stati”.