Senza categoria | B & P Solution srl

NIS2: “Abbiamo sempre fatto così” non basta più!

La sicurezza dei dati e la conformità alle normative sono temi cruciali per tutte le aziende, indipendentemente dalle loro dimensioni e dal settore in cui operano. Tuttavia, spesso si sentono frasi come “abbiamo sempre fatto così” o “la NIS2 sarà un flop come il GDPR”, che sottovalutano l’importanza di adottare misure di sicurezza adeguate e di adeguarsi alle normative vigenti. In questo articolo, esamineremo i rischi che le aziende corrono quando decidono di non investire sulla sicurezza dei dati e di non trattare correttamente le informazioni.

Spesso durante le call o durante gli audit, parlando di trattamento dati e di sicurezza degli stessi, si sente spesso la famosa frase “eh ma avvocato noi da sempre facciamo così” e ancora “la NIS2 sarà un flop così come lo è stato il GDPR“… e potrei continuare all’infinito.

E il problema si complica quando a dirlo sono addirittura i consulenti che invece di supportare i propri clienti nell’implementazione si “abbassano” a frasi di questo tipo pur di prendere o non perdere il cliente. Ma siamo tutti così sicuri di queste frasi o ce le diciamo perché ormai è un luogo comune?

Siamo davvero così sicuri di poter tenere delle misure di sicurezza orrende (sì, esatto, orrende, perché è questo di cui si parla in molte aziende anche strutturate!!) e continuare a lavorare?

Facciamo un esempio così capiamo meglio.

Sappiamo già (e comunque lo approfondiremo in un altro articolo) che a brevissimo entrerà in vigore la direttiva NIS2 (esattamente il 17 ottobre 2024) e nel perimetro di questa normativa entreranno, da statistiche nazionali, almeno 50.000 aziende. Intendo nel perimetro di applicazione della NIS2 senza considerare chi vi potrà rientrare nell’ambito della supply chain (ergo catena di fornitura, cioè io sono tenuto ad applicare la NIS2 e quindi richiedo i requisiti di questa norma a tutti i fornitori che intenderanno lavorare con me).

Fatta questa premessa, potremmo già ipotizzare il numero di aziende che rientreranno nel perimetro o per applicazione diretta e quante ci potrebbero rientrare per applicazione indiretta (ovvero sulla base della catena di fornitura).

È evidente, quindi, anche per chi poco mastica di questa materia, il rischio a cui ci esponiamo nel caso in cui continuiamo ad adottare misure inadeguate. Vediamo insieme questi rischi.

RISCHI PER LE AZIENDE CHE DECIDONO DI NON INVESTIRE SULL’ADOZIONE DI MISURE DI SICUREZZA ADEGUATE O NON TRATTANO CORRETTAMENTE I DATI:

1) Il primo rischio è quello maggiormente impattante e con maggiori conseguenze (legali, informatiche e di business): il rischio di subire un ATTACCO INFORMATICO. Premesso che, in ambito informatico, non si può né si riesce ad abbattere il rischio al 100%, è evidente che più le misure della mia azienda sono inadeguate, non aggiornate e non continuamente revisionate, più il rischio di attacco informatico aumenta. A ciò si aggiunga che se non faccio mai formazione e non sensibilizzo mai i miei dipendenti o collaboratori (che sono il mio firewall umano), più la percentuale aumenta.

Ricordiamoci che negli ultimi mesi gli attacchi informatici sono aumentati in misura notevole e aumenteranno sempre più, quindi va tenuta alta la guardia;

2) Il secondo rischio è quello legato alla catena di fornitura (lo abbiamo accennato prima). Se io voglio lavorare con un cliente che applica la NIS2 (oltre il GDPR e altre normative) e questo, con un questionario o altro sistema di valutazione del fornitore, mi richiede l’applicazione di determinate misure di sicurezza e io non le ho, il risultato è evidente: o mi adeguo o NON LAVORO con realtà simili!

3) Rischio sanzioni per non ottemperanza di norme di legge. Questo rischio è legato il più delle volte a un comportamento errato del titolare del trattamento, ovvero vi sono norme che vanno applicate ma io titolare, volutamente o per superficialità o per trascuratezza o perché non voglio pagare un consulente (e aggiungete voi altri motivi), decido di non adeguarmi alla normativa vigente (sia GDPR, NIS2 ecc). O dato che voglio pagare poco, faccio qualche adempimento qua e là sperando che basti.ATTENZIONE PERCHÉ UN ADEMPIMENTO PARZIALE NON EQUIVALE A CONFORMITÀ E PONE A RISCHIO SANZIONI!

Anzi, a parere di chi scrive, una conformità parziale (deleghe fatte male, adempimenti lacunosi, nomine o designazioni ad autorizzati non sottoscritte o sottoscritte senza che la forma corrisponda alla sostanza, e potrei continuare per ore) mette potenzialmente più a rischio di una non conformità totale, anche da un punto di vista psicologico, e mi spiego meglio.

Nella non conformità totale il titolare SA di non applicare la norma (o le norme) e quindi in caso di ispezione e conseguente sanzione la responsabilità è completamente del titolare senza se e senza ma.

Nella conformità parziale, invece, nei casi indicati sopra, il titolare CREDE di essere a posto, di essere compliant, e quindi non aggiorna le misure, non forma il suo personale, non differenzia la formazione tenuto conto dei dati trattati e chi più ne ha più ne metta. Ergo continua a pensare di essere a posto quando in realtà non lo è! E questo è davvero pericolosissimo!

La domanda, quindi, sorge spontanea!

Sei effettivamente ed efficacemente conforme? Sottoponi a audit continui la tua realtà? Aggiorni costantemente le tue misure di sicurezza? Coinvolgi concretamente il tuo IT, fai audit con lui e ascolti fattivamente quello che ti consiglia?

Se la risposta è NO o hai dubbi sulla stessa, CONTATTACI!

In conclusione, è fondamentale che le aziende prendano sul serio la sicurezza dei dati e la conformità alle normative. Sottovalutare questi aspetti può portare a gravi conseguenze, come attacchi informatici, perdita di opportunità di business e sanzioni. È essenziale affidarsi a professionisti competenti che possano guidare l’azienda nel percorso di adeguamento e di continuo miglioramento delle misure di sicurezza.

Non aspettare che sia troppo tardi! Agisci ora per proteggere la tua azienda e i tuoi dati. Contatta il nostro team di esperti in sicurezza informatica e conformità normativa. Saremo lieti di offrirti una consulenza personalizzata per valutare lo stato attuale della tua azienda e sviluppare un piano d’azione su misura per garantire la tua conformità e mitigare i rischi. Prenota subito una chiamata gratuita con i nostri specialisti e fai il primo passo verso una maggiore sicurezza e tranquillità per il tuo business. Non rimandare, la sicurezza dei tuoi dati e la reputazione della tua azienda sono troppo importanti per essere lasciate al caso. Contattaci oggi stesso.

Avv. Clementina Baroni

Cybersecurity Manager Dpo e Lead Auditor 27001

Le quattro fasi per comunicare al CSIRT Italia un incidente cibernetico

La notifica degli incidenti cibernetici riveste un ruolo di primaria importanza nel quadro delle recenti evoluzioni normative. La nuova normativa NIS2 prevede un sistema di notifica obbligatoria degli incidenti cibernetici per diverse categorie di soggetti. È fondamentale rispettare queste disposizioni, poiché il mancato adempimento può comportare conseguenze giuridiche rilevanti.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la Guida alla notifica degli incidenti al CSIRT (Computer Security Incident Response Team) Italia. L’obiettivo è quello di illustrare ad ogni soggetto le informazioni necessarie per effettuare la notifica di incidente, sia che il soggetto abbia un obbligo normativo di notifica, come i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC), gli Operatori di Servizi Essenziali (OSE), i Fornitori di Servizi Digitali (FSD), i Telco e i soggetti sottoposti alle disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatic (entità considerate dalla legge n. 90/2024 – c.d. “Legge sulla Cybersicurezza” – recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici), sia che esso non operi in settori critici e non abbia vincoli in tal senso, come piccole e medie Imprese e cittadini.

La Guida, quindi, si rivolge anche ai soggetti, pubblici e privati, che pur non essendo obbligati alla notifica intendono tuttavia, volontariamente segnalare l’incidente allo CSIRT, in questo modo contribuendo a una migliore condivisione della conoscenza del livello e dell’intensità della minaccia, per rafforzare la resilienza dell’ecosistema digitale italiano.

La corretta adozione della procedura di notifica degli incidenti cibernetici costituisce un elemento cruciale per garantire sicurezza e resilienza delle reti, dei sistemi informativi e dei servizi informatici. La prontezza e la precisione delle informazioni fornite durante il processo di notifica rivestono un ruolo fondamentale per consentire al CSIRT Italia di acquisire una conoscenza completa ed esau-stiva dell’incidente occorso ai fini dell’attività di allertamento e per fornire ai soggetti impattati il supporto necessario nell’ottica del ripristino dei servizi stessi.

Il documento è organizzato in sezioni chiave, che, per ciascuna tipologia di soggetto segnalante, forniscono informazioni sul contesto normativo di riferimento, sulle eventuali e specifiche tempistiche da rispettare e relative sanzioni per il mancato adempimento nonché una descrizione delle fasi in cui si articola il flusso di processo. Per ciascuna delle categorie di soggetti viene indicata una specifica sezione denominata “Come riconoscere un incidente da notificare”, che è quanto deve essere incluso nei processi aziendali di gestione incidenti per assicurarsi di intercettare correttamente quelli che necessitano di notifica.

Le linee guida forniscono, dunque, un modello di processo di notifica degli incidenti al CSIRT Italia, salvo prevedere adattamenti per ciascuna categoria di soggetti, tenuto conto delle specifiche esigenze e dei relativi obblighi normativi.

Le quattro fasi fondamentali del flusso di notifica sono:

1. Una fase preparatoria.

A seguito della rilevazione di un incidente, il soggetto segnalante avvia una fase preparatoria alla notifica con l’obiettivo di raccogliere le informazioni minime per garantire al CSIRT Italia un’attivazione proporzionata alla potenziale criticità ed ai potenziali impatti di natura sistemica derivanti dall’incidente stesso.
Rientrano in tale fase le attività di preparazione della segnalazione dell’incidente, ove prevista.

2. La fase di notifica.

Una volta raccolte le informazioni necessarie ad effettuare la segnalazione, ove prevista, e/o la notifica, si potrà procedere alla compilazione di un modulo online disponibile sul sito internet del CSIRT Italia: https://www.csirt.gov.it/segnalazione.
Tale comunicazione occorre che venga effettuata al CSIRT con una tempistica definita nelle linee guida, e diversamente declinata in funzione dell’appartenenza del soggetto ai diversi presidi

normativi. In ogni caso, la segnalazione è strettamente correlata al principio di immediatezza della conoscenza dell’incidente.

3. Gestione della notifica.

Dopo aver ricevuto la segnalazione, ove prevista, e/o la notifica, sulla base del livello di servizio previsto per la specifica categoria di soggetto segnalante, il CSIRT Italia valuterà l’opportunità di fornire supporto nelle operazioni di incident handling, da remoto o in loco. Durante questa fase, in base alla tipologia del soggetto segnalante e alla normativa vigente, su richiesta del CSIRT Italia potranno essere effettuate ulteriori attività anche a seguito della risoluzione dell’incidente.

4. Chiusura dell’incidente.

Una volta terminate le attività di gestione dell’incidente da parte del soggetto segnalante ed eventualmente pianificate le attività di rientro dell’incidente, il CSIRT Italia procederà alla chiusura dell’incident.

Le linee guida saranno oggetto di revisione, soprattutto in considerazione dell’implementazione a livello nazionale della direttiva europea NIS2 o di eventuali ulteriori emendamenti alle legislazioni citate nel documento.

In sintesi, la notifica degli incidenti cibernetici è un obbligo legale che non può essere trascurato. Per assicurarsi di essere sempre conformi alle normative, come la NIS2, e di proteggere adeguatamente la propria organizzazione, è fondamentale affidarsi a professionisti esperti. Bep Solution srl offre consulenza legale specializzata per guidarvi nel processo di notifica degli incidenti e per garantire la conformità alla NIS2 e alle altre normative in materia di sicurezza informatica.

Avv. Valentina De Simone

La formazione in materia di privacy: un obbligo di legge.

È già nota a tutti l’obbligatorietà della formazione in materia di sicurezza sul lavoro per i dipendenti di un’azienda, come previsto dal D. Lgs. 81/2008, ma molti si chiedono se sia obbligatoria anche la formazione in materia di privacy.

È sufficiente osservare i dettati normativi di questi due articoli per capirlo:

L’Articolo 29 del Reg. EU 679/2016 (“GDPR”) sancisce chiaramente che: “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento […]”.
L’Art. 32 punto 4 ribadisce a sua volta che: “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento […]”.

In via definitiva: sì, la formazione in materia di privacy è, a tutti gli effetti, un obbligo sancito per legge a cui il datore di lavoro (e tutti il personale della sua azienda) deve necessariamente adempiere.

Inoltre, percorrendo la supply-chain, il GDPR dice anche che è un diritto del Titolare del trattamento premurarsi che i suoi fornitori (ovvero i Responsabili del trattamento e i relativi soggetti autorizzati) si conformino al suddetto obbligo normativo e, pertanto, siano tutti adeguatamente formati.

A questo punto è lecito domandarsi: quanto deve durare la formazione GDPR?

Il Regolamento Europeo 679 del 2016 dispone criteri meno rigidi e certamente più generici di quelli sanciti dall’Accordo Stato-Regioni 221/CSR del 2011 per la formazione in materia di sicurezza sul lavoro.

Per valutare come costruire o come scegliere la formazione in materia di privacy è bene tenere a mente che la durata e gli argomenti dei corsi sul GDPR devono essere ponderati basandosi sull’entità e sulla complessità dei trattamenti effettuati e delle misure di sicurezza che l’autorizzato al trattamento deve conoscere e attuare.

Proprio per questo motivo capita sovente che non tutti i dipendenti possano effettuare i medesimi corsi di formazione… in caso di attività di trattamento diverse tra loro, differenziare i corsi di formazione per renderli aderenti alle necessità del lavoratore è sempre la scelta giusta!

Se hai dubbi su come organizzare la formazione in materia di privacy nella tua azienda o se desideri maggiori informazioni sugli obblighi previsti dal GDPR, B&P Solution è qui per aiutarti. Offriamo corsi di formazione in modalità sia sincrona che asincrona, creati su misura da professionisti altamente specializzati e qualificati. I nostri corsi sono progettati per soddisfare le esigenze specifiche della tua azienda, garantendo che tutto il personale sia adeguatamente formato e preparato ad affrontare le sfide della privacy.

Dott.ssa Matilde Grassi

Scudo digitale per l’Italia: il Decreto NIS2 approda al Consiglio dei Ministri

Oggi 6 agosto 2024 si è tenuta la riunione preparatoria del CdM e tra i temi oggetto di discussione c’è anche lo schema del decreto legislativo per recepire la NIS2, schema che ha già ricevuto i pareri del Senato e della Camera dei deputati. Manca quindi solo l’approvazione del Consiglio dei ministri.
Dopo l’approvazione del CdM, il decreto legislativo viene emanato dal Presidente della Repubblica e pubblicato sulla Gazzetta Ufficiale. Entra in vigore dopo 15 giorni dalla pubblicazione.
Secondo la bozza attualmente a disposizione le disposizioni del decreto legislativo di recepimento della NIS2 si applicheranno, ai soggetti che ricadono nel perimetro della NIS2, a decorrere dal 18 ottobre 2024
Il direttore generale dell’ACN Bruno Frattasi ha parlato di 50.000 nuovi operatori che saranno interessati dalla nis2.

A chi si applica la NIS2?

La novità principale della Direttiva NIS 2 è proprio il suo ambito di applicazione, decisamente più ampio rispetto a quello dell’originaria Direttiva NIS. In particolare, le nuove disposizioni normative si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”, quindi non solo i servizi essenziali (settori dell’energia, dei trasporti, della sanità, così come quello bancario e dei mercati finanziari, etc.), ma anche servizi altrettanto critici, come, ad esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legati alla grande distribuzione alimentare o al settore chimico.
Tuttavia, il nuovo testo normativo non si rivolge indistintamente a tutte le società che insistono all’interno dei suddetti settori, ma specifica in maniera precisa delle “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.

Quali obblighi?

Gli operatori inclusi nell’ambito applicazione della nis2 dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti.
Inoltre, la Direttiva NIS 2 prevede che siano i membri degli “organi di gestione” degli operatori inclusi ad approvare le suddette misure, sovraintendendo alla loro applicazione e implementazione. E’ evidente, quindi, la volontà del legislatore di responsabilizzare i vertici della società alla corretta applicazione della normativa prevedendo pesanti sanzioni per gli stessi in caso di non applicazione della normativa.
A ciò si aggiunga che i soggetti essenziali e importanti saranno obbligati a notificare all’autorità competente, senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi. In particolare, il legislatore prevede la trasmissione di un preallarme entro le 24 ore dalla conoscenza dell’incidente, nonché l’inoltro di un’ulteriore notifica entro 72 ore che, se opportuno, aggiorni le informazioni precedentemente fornite.
Gli operatori rientranti nel perimetro NIS2 potranno, inoltre, essere soggetti ad attività di vigilanza, tra cui ispezioni in presenza e controlli a distanza, nonché audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente.

Quali consigli dare agli operatori?

Il primo consiglio è quello di fare un’analisi dettagliata sull’applicabilità o meno della normativa al singolo operatore. È il primo passo fondamentale e imprescindibile.
Dopo aver ‘scoperto’ che si rientra nel perimetro NIS2 occorrerà ben comprendere la reale situazione dell’azienda ovvero le misure rientranti nella NIS2 già applicabili nell’azienda.
Ricordo che la NIS2 prevede una serie di policy e procedure che spesso le aziende non hanno. Credono di avere (c.d. Buone prassi) ma che non hanno!
E nell’applicazione di questa normativa sarà importante non solo quello che si fa ma sarà fondamentale documentare e dimostrare ciò che si fa con procedure, policy dettagliate, diagrammi di flusso e molto altro ancora.
Fondamentale sarà l’effettuazione di audit e la verbalizzazione degli stessi.
Il mio consiglio, infine, è quello di non prendere sotto gamba questa normativa. Dati i continui attacchi informatici e data breach che si verificano le autorità di vigilanza intensificheranno i controlli soprattutto per chi rientra nell’ambito di applicazione.
E se arriva il controllo a loro potrà arrivare ai fornitori di cui l’azienda rientrante nel perimetro nis2 si avvale (c.d. Catena di fornitura o supply chain).
Ma di questo ne parleremo nel prossimo articolo.

Avv. Clementina Baroni

Data-Driven Marketing e Privacy: Trovare il giusto equilibrio per il successo del brand

Nell’era del data-driven marketing, la privacy dei dati è diventata una considerazione critica per i professionisti del marketing. Da un lato, l’accesso ai dati dei clienti ci consente di creare campagne altamente mirate e personalizzate che guidano la crescita del business. Dall’altro, i consumatori sono sempre più consapevoli e preoccupati per la sicurezza delle loro informazioni personali. Come esperti di marketing, dobbiamo navigare in questo delicato equilibrio, sfruttando il potere dei dati pur mantenendo la fiducia dei nostri clienti.

L’importanza dei dati nel marketing moderno:

I dati sono il carburante che alimenta il marketing moderno. Ci consentono di comprendere meglio i nostri clienti, identificare i trend e ottimizzare le nostre campagne per massimizzare l’ROI. Dalle informazioni demografiche ai comportamenti di acquisto, i dati ci forniscono preziose informazioni per guidare le nostre decisioni strategiche. Tuttavia, con questo potere deriva una grande responsabilità nel gestire i dati in modo etico e trasparente.

Best practice per un data-driven marketing rispettoso della privacy:

Per sfruttare il potere dei dati pur mantenendo la fiducia dei clienti, considerate queste best practice:

1. Opt-in e consenso: Assicuratevi di ottenere un consenso esplicito prima di raccogliere o utilizzare i dati dei clienti. Siate chiari su come verranno utilizzati i dati e date ai clienti il controllo sulle loro preferenze.

2. Trasparenza e comunicazione: Siate trasparenti sulle vostre pratiche di raccolta e utilizzo dei dati. Comunicate regolarmente eventuali aggiornamenti alla vostra politica sulla privacy e rendete facilmente accessibili le informative sulla privacy.

3. Sicurezza dei dati: Investite in solide misure di sicurezza per proteggere i dati dei clienti da accessi non autorizzati o violazioni. Lavorate solo con fornitori di tecnologia affidabili che danno priorità alla sicurezza.

4. Minimizzazione dei dati: Raccogliete e conservate solo i dati necessari per gli scopi di marketing specifici. Evitate di raccogliere dati superflui e stabilite politiche di conservazione dei dati per garantire che le informazioni non vengano conservate più a lungo del necessario.

5. Formazione del team: Educate il vostro team di marketing sull’importanza della privacy dei dati e sulle best practice. Assicuratevi che tutti comprendano il loro ruolo nel mantenere la fiducia dei clienti attraverso una gestione responsabile dei dati.

Nel panorama del marketing odierno, i dati e la privacy sono intrinsecamente legati. Trovare il giusto equilibrio è essenziale non solo per la compliance normativa, ma anche per costruire relazioni di fiducia durature con i clienti. Integrando la privacy dei dati nel cuore delle nostre strategie di data-driven marketing, possiamo sbloccare il potere dei dati in modo responsabile e guidare la crescita del business.

Se stai cercando supporto per navigare nella complessità del data-driven marketing e della privacy, B&P Solution Srl può aiutarti. Con una consulenza esperta e corsi e-learning personalizzati, B&P Solution Srl può fornirti gli strumenti e le conoscenze necessarie per eccellere nel marketing basato sui dati, pur mantenendo la fiducia dei tuoi clienti. Contatta B&P Solution Srl oggi stesso per iniziare il tuo percorso verso un data-driven marketing di successo e rispettoso della privacy.

Dott.ssa Virginia Foci- Esperta di Marketing presso B&P Solution Srl

Shadow Profiles: il lato oscuro della raccolta dati dei social media.

Immaginate questo scenario: non avete mai creato un account su un particolare social network, eppure quella piattaforma ha un profilo su di voi con il vostro nome, numero di telefono, indirizzo email e persino informazioni sui vostri interessi e le vostre relazioni. Sembra una violazione della privacy, vero? Benvenuti nel mondo degli shadow profiles.

Uno shadow profile è essenzialmente un profilo utente creato da una piattaforma di social media senza il consenso o la conoscenza dell’individuo. Questi profili vengono costruiti raccogliendo dati da varie fonti, tra cui informazioni caricate da altri utenti e dati raccolti tracciando l’attività online dell’individuo. L’obiettivo è creare un ritratto dettagliato di una persona, anche se quella persona non ha mai acconsentito esplicitamente alla raccolta dei propri dati.

Quindi, anche se avete scelto di non iscrivervi a un particolare social network, c’è una buona probabilità che abbiano comunque un’ombra di voi nei loro database. In questo articolo, esploreremo in dettaglio come funziona questo processo e le sue preoccupanti implicazioni per la privacy online.

Come vengono creati gli shadow profiles?

I social media utilizzano diverse tattiche per raccogliere dati su utenti non iscritti e costruire shadow profiles. Ecco un’analisi approfondita dei metodi principali:

1. Il ruolo delle liste di contatti

Uno dei modi più comuni in cui i social media ottengono informazioni su utenti non iscritti è attraverso le liste di contatti caricate da altri utenti. Quando qualcuno si iscrive a una piattaforma di social media, spesso gli viene data l’opzione di caricare la sua rubrica o consentire l’accesso ai suoi contatti. Se l’utente acconsente, la piattaforma può raccogliere informazioni come numeri di telefono, indirizzi email e nomi associati a individui nella lista dei contatti, anche se quegli individui non hanno un account sulla piattaforma.

Ad esempio, diciamo che il vostro amico Marco si iscrive a un nuovo social network e carica la sua rubrica, che include il vostro nome, numero di telefono ed email. Anche se voi non avete un account su quel social network, ora hanno queste informazioni di contatto associate a voi. Possono utilizzare questi dati come base per creare un shadow profile, collegando le informazioni di contatto a qualsiasi altra cosa riescano a trovare su di voi online.

2. Tracciamento dell’attività online

Un altro modo in cui i social media raccolgono dati su utenti non iscritti è tracciando la loro attività online su siti di terze parti. Molti siti web includono plug-in sociali come i pulsanti “Mi piace” di Facebook o “Tweet” di Twitter. Anche se non cliccate su questi pulsanti, il semplice fatto di visitare una pagina web con questi plug-in consente al social network di registrare la vostra presenza.

Inoltre, molti siti web includono “pixel” invisibili, che sono piccoli frammenti di codice che consentono ai social media di raccogliere dati sul vostro comportamento di navigazione. Attraverso questi pixel, possono tenere traccia delle pagine che visitate, del tempo trascorso su ogni sito e persino delle vostre azioni specifiche, come gli articoli che leggete o i prodotti che acquistate.

Immaginate di navigare in un sito web di notizie che ha un pulsante “Mi piace” di Facebook. Anche se non cliccate sul pulsante, Facebook registra il fatto che avete visitato quella pagina. Ora sanno che vi interessano le notizie o gli argomenti specifici trattati in quell’articolo. Possono aggiungere questa informazione al vostro shadow profile, contribuendo a costruire un quadro dei vostri interessi e comportamenti online.

3. Dedurre relazioni e interessi

Una volta che i social media hanno raccolto dati grezzi su utenti non iscritti, utilizzano algoritmi sofisticati per dedurre relazioni e interessi. Analizzando i modelli di interazione tra gli utenti, possono fare ipotesi su chi conosce chi e quanto sono stretti i legami.

Ad esempio, se il vostro amico Marco (che ha un account) interagisce frequentemente con il vostro shadow profile (commentando post in cui siete taggati o cercando il vostro nome), la piattaforma può dedurre che hai una stretta relazione con Marco. Possono quindi utilizzare le informazioni dal profilo di Marco, come la sua posizione o i suoi interessi, per arricchire il vostro shadow profile.

Possono anche dedurre i vostri interessi sulla base dei siti web che visitate e dei contenuti con cui interagite. Se cliccate spesso su articoli relativi a un particolare argomento o prodotto, il social network può dedurre un interesse per quell’area e aggiungerlo al vostro shadow profile.

4. Arricchire i profili con dati di terze parti

Per rendere gli shadow profiles ancora più completi, i social media spesso acquistano dati aggiuntivi da broker di dati di terze parti. Queste società raccolgono informazioni da una vasta gamma di fonti, tra cui registri pubblici, transazioni finanziarie, fidelity card e cronologia di navigazione. Possono avere dati sul vostro reddito, sulla vostra situazione familiare, sui vostri acquisti e altro ancora.

Combinando questi dati di terze parti con le informazioni che hanno raccolto direttamente, i social media possono creare profili incredibilmente dettagliati e invasivi, anche per persone che non hanno mai acconsentito alla raccolta dei propri dati.

Immaginate che un broker di dati abbia informazioni sulla vostra storia di acquisti da un rivenditore online. Sanno che avete comprato libri su un particolare argomento o che avete acquistato prodotti per neonati. Se un social network acquista questi dati e li collega al vostro shadow profile, ora hanno un quadro ancora più ricco dei vostri interessi e circostanze di vita, senza che voi lo sappiate.

Implicazioni per la privacy e sfide normative

La creazione di shadow profiles solleva serie preoccupazioni sulla privacy. Gli individui non hanno il controllo sui dati raccolti a loro insaputa e spesso non hanno modo di accedere o cancellare queste informazioni. Inoltre, i dati degli shadow profiles possono essere utilizzati per il targeting pubblicitario o potenzialmente condivisi con terze parti senza consenso esplicito.

Dal punto di vista legale, la pratica degli shadow profiles si trova in un’area grigia. Anche se i regolamenti sulla protezione dei dati come il GDPR in Europa hanno introdotto maggiori tutele, l’applicazione a casi di shadow profiling rimane una sfida. Le autorità di regolamentazione devono trovare un equilibrio tra la privacy individuale e le pratiche commerciali dei social media.

Cosa possono fare gli utenti?

Anche se gli individui hanno un controllo limitato sui propri shadow profiles, ci sono alcuni passi che possono fare per proteggersi:

Essere consapevoli delle impostazioni sulla privacy quando si utilizzano i social media e limitare la quantità di informazioni condivise pubblicamente.
Utilizzare strumenti di blocco dei tracker e considerare l’uso di una VPN per mascherare l’attività online.
Fare pressione sui legislatori e sulle autorità di regolamentazione affinché affrontino la questione degli shadow profiles e introducano una maggiore trasparenza e protezione della privacy.

Gli shadow profiles rappresentano un preoccupante esempio di come i social media possono violare la privacy degli utenti non iscritti. Attraverso varie tattiche di raccolta dati, queste piattaforme possono creare profili dettagliati di individui senza il loro consenso esplicito. Mentre i social network traggono valore da questa pratica, sollevano importanti questioni etiche e legali che devono essere affrontate. È tempo di una maggiore trasparenza e responsabilità da parte dei giganti dei social media e di una regolamentazione più forte per proteggere la privacy individuale nell’era digitale.

Dott.ssa Virginia Foci

« Post precedenti

Post successivi »