I dati “anonimizzati” prodotti dai nostri smartphone non sono così anonimi come speravamo. Risalire all’identità della persona da cui provengono alcune informazioni seminate dai dispositivi digitali non è insomma molto difficile. L’allarme arriva dal Mit di Boston dove un team di ricercatori, di cui fa parte anche l’italiano Carlo Ratti, ha provato a incrociare due diversi database di dati anonimizzati, cioè privi di informazioni che colleghino direttamente a un individuo, dimostrando che proprio dal loro mescolamento è possibile risalire all’identità dell’utente.
I ricercatori del Mit hanno analizzato 485 milioni di dati raccolti da un operatore mobile di Singapore, prodotti da 2 milioni di utenti, incrociandoli con altri 70 milioni relativi ai movimenti delle persone in città. “Alla fine abbiamo verificato che, pur avendo a che fare con due database anonimi, non è difficile unirli”, le parole dell’architetto e ingegnere Carlo Ratti. Torinese di origine, dove ha fondato lo studio Cra aperto poi anche a New York, oggi Ratti dirige il Senseable City Lab al MIT di Boston.
“Come utenti di dispositivi digitali produciamo dati in ogni momento – spiega Ratti - ogni volta che inviamo un messaggio, facciamo una chiamata, usiamo i social network, finalizziamo un acquisto online o usiamo una qualunque altra app lasciamo delle tracce in rete. In quasi tutti questi casi si tratta di dati che contengono informazioni sull’ora e sulla nostra posizione”. Sono quelli che al Mit hanno chiamato “location stamps”, cioè informazioni che includono coordinate geografiche e orario, e che rappresentano la chiave per identificare una persona.
Con la quantità di informazioni relative a data e ora che ogni utente produce continuamente, infatti, non è difficile ricostruire a posteriori il percorso fatto da qualcuno: grazie a un algoritmo, al Mit i ricercatori sono riusciti a trovare i location stamps uguali presenti in entrambi i dataset. “Non credo ci sia più di una persona al mondo che due settimane fa è passata all’indirizzo del mio studio di Torino, il giorno dopo ha lasciato una traccia all’aeroporto di Dubai, poi alla sede del MIT a Singapore, e la sera in un ristorante italiano nella zona di Gardens by the Bay – spiega Ratti -. Quella persona sono io. Se ho lasciato tracce digitali in quei posti, tramite una app o carta di credito, anche se quei dati sono anonimi possono essere messi insieme”.
Una volta compreso il percorso di una persona e con i dati de-anonimizzati a disposizione, le possibilità di trovare nome e cognome dell’utente sono piuttosto alte: “Se io in quel momento ho lasciato un messaggio su Twitter – aggiunge Ratti proseguendo l’esempio precedente - allora il mio account può essere usato per de-anonimizzare altri dati, svelando chi ha fatto quelle azioni, e accedere a informazioni sensibili come i numeri della carta di credito”.
I risultati del Mit fanno riflettere: con i dati raccolti in una settimana i ricercatori sono riusciti a trovare corrispondenze nel 17% dei casi, un tasso che sale al 55% con quattro settimane di dati e sfiora il 95% in meno di tre mesi. “Qualche tempo fa nella Silicon Valley ho sentito dire che da quando maneggiamo gli smartphone la privacy è morta: soltanto che in molti non se ne sono ancora accorti”, commenta Ratti. La questione chiave da affrontare oggi, secondo l’architetto torinese, è l'asimmetria delle informazioni e del possesso dei dati: “Le grandi aziende e i governi sanno molto di noi, mentre noi spesso sappiamo pochissimo persino dei dati prodotti da noi stessi. Dobbiamo trovare soluzioni per evitare il pericolo di monopoli di dati o di un loro uso improprio”. In che modo? Aumentando la consapevolezza tra gli utenti, innanzitutto: “L’opinione pubblica può influenzare le decisioni del legislatore - commenta Ratti - e per il futuro credo sia fondamentale rendere i dati diffusi e aperti”.