La diatriba tra Agcom e Facebook, sulle violazioni dell’antitrust perpetrate dall’azienda di Mark Zuckerberg in materia di dati personali, continua su più fronti dal 2018.
A nulla sono valsi i richiami e le varie multe, che va detto sono sempre stati spiccioli (10 milioni di euro) commisurati alla pratica scorretta di Facebook, che in fase di iscrizione degli utenti ha sempre enfatizzato di non disabilitare la raccolta dati per fini commerciali, pena limitazioni di funzionalità quasi inesistenti.
A distanza di anni Facebook continua ad ignorare le indicazioni di rettifica di Agcom, che faceva notare l’enfatizzazione di Facebook nel sottolineare che l’utilizzo della piattaforma fosse gratuito, per poi vendere le informazioni di navigazione ad altre aziende, e quindi come principio di lucro, il garante ha multato l’azienda e insistito affinché si facesse notare in fase di iscrizione.
Per tutta risposta Facebook, ha eliminato la nota sull’uso gratuito, credendo di poter bypassare la pratica commerciale scorretta, e così Agcom a febbraio di quest’anno ha deciso di emettere nuove multe a loro carico, in questo caso 7 milioni di euro, e precisa:
“Facebook ancora non fornisce un’immediata e chiara informazione sulla raccolta e sull’utilizzo a fini commerciali dei dati degli utenti”
Un portavoce di Facebook ha poi rilasciato in risposta questa dichiarazione:
“Prendiamo atto dell’annuncio della Autorità Garante della Concorrenza e del Mercato ma rimaniamo in attesa della decisione del Consiglio di Stato sull’appello che abbiamo presentato rispetto al provvedimento iniziale emesso dall’Autorità. La tutela della privacy per noi è estremamente importante e abbiamo già apportato uno serie di cambiamenti, anche alle nostre Condizioni d’uso, per chiarire ulteriormente come utilizziamo i dati per fornire i nostri servizi e la pubblicità personalizzata”
Gli account di Facebook violati
Poi il fattaccio, 533 milioni di utenti Facebook hanno subito un data breach colossale, ed i loro dati personali sono finiti su un noto forum di hacker, i più colpiti gli italiani, ben 36 milioni, il 90% della totale popolazione di utenti nel nostro paese.
Facebook nega con fermezza che si tratti di una violazione delle reti dell’azienda, e precisa che si tratti di web scraping, una pratica che di norma non sarebbe illegale, tranne appunto nel caso l’utente non ne sia a conoscenza, o che sia usata come in questo caso per scopo di lucro.
Quali sono quindi i dati pubblicati e quali sono i rischi?
- Numero di telefono cellulare (solo chi lo scritto nelle info)
- Nome e Cognome
- Sesso
- Città e provincia di nascita
- Data di nascita (formato data + ora, anche se impostato non visibile sul profilo FB)
- Attività lavorativa e relazioni sentimentali
- Email (presenti solo in pochi casi)
- UID Facebook (codice numerico del profilo Facebook).
Nel caso dello UID, non ci sarebbero problemi, dato che è facilmente accessibile e non ha di base una funzione davvero utile per i malintenzionati; purtroppo per il resto delle informazioni, il rischio può diventare davvero grave.
Sarà possibile infatti risalire al tuo codice fiscale, e con i quelli più il tuo numero di cellulare effettuare una clonazione della tua carta SIM, nota come SWAP FRAUD, e visto che è pratica comune in Italia una richiesta di scambio di SIM, le società telefoniche non effettuano molti controlli a riguardo.
Un altro rischio derivante dallo SWAP FRAUD, è la possibilità per il malintenzionato, di deviare appunto le verifiche a due fattori per SMS, della tua banca per esempio, per effettuare bonifici a tuo nome, laddove sia riuscito anche ad accedere anche alla tua mail, o a tue password salvate. Questo è un caso estremo e molto difficile da attuare, ma non certo impossibile per alcuni hacker.
Infatti tramite i dati della relazione personale combinati con dati di navigazione ed interessi, potranno bombardarti con phishing mirato. Cosa vuol dire? Ti bombarderanno con mail di attività che per te sono normali, come Netflix, la tua banca ecc. per indirizzarti verso pagine finte dove tu tranquillamente inserirai il tuo nome utente e password, credendo effettivamente di essere sul sito della tua banca per esempio, e così rubarti i dati di accesso.
Diciamo che vi è un’illusione di sicurezza, e di conseguenza un certo radicato disinteresse a riguardo, ed è per questo che Agcom ha consigliato a tutti gli utenti Facebook, di prestare attenzione ad anomalie sul proprio dispositivo mobile. Nel mentre Agcom, già dal 2020, sta lavorando ad una delibera che introdurrà nuove regole più sicure per il cambio di SIM.
Agcom ha inoltre chiesto a Facebook di:
“di rendere immediatamente disponibile un servizio che consenta a tutti gli utenti italiani di verificare se la propria numerazione telefonica o il proprio indirizzo mail siano stati interessati dalla violazione”
Il garante ha inoltre esortato che l’utilizzo di quei dati è illegale anche per utilizzi positivi, come quello del sito Haveibeenpwned, dove è in effetti possibile controllare se i tuoi dati sono stati esposti.
