Cosa ho scoperto analizzando i miei metadati

I messaggi che inviamo, le mail che ci scambiamo, la nostra stessa cronologia di ricerca salvata sui browser web, tutte queste attività generano dei dati relativi all'orario dell'invio, all'identità, e alla posizione di chi le ha effettuate: questi dati prendono il nome di metadati.

"Sottostimiamo la quantità di dati che produciamo giornalmente," mi conferma in una conversazione via mail Siddharth Rao, Ford-Mozilla Open Web Fellow presso EDRi, "ho sviluppato il software Hakuna Metadata proprio per informare le persone sui rischi per la privacy causati dai metadati della nostra attività di ricerca tramite i browser web."

I nostri metadati, infatti, possono essere raccolti dai fornitori di servizi internet, dalle forze dell'ordine, da hacker con intenzioni malevole e, fondamentalmente, aggiunge Rao, "da chiunque si trovi a veicolare il passaggio dei dati digitali dal nostro dispositivo a quello di destinazione."

Ho deciso quindi di utilizzare il suo software per tracciare i metadati prodotti dalla mia navigazione sul web nelle ultime due settimane di Aprile e capire così quali informazioni su di me si possono estrarne.

Di default, i browser web come Firefox e Google Chrome localmente sul nostro PC la nostra cronologia per fornire un'esperienza di navigazione più facile all'utente. A partire dalla cronologia, Hakuna Metadata ha effettuato un'analisi dei domini web che ho visitato più frequentemente (ndr purtroppo i colori non rispecchiano la legenda, ma dall'alto verso il basso sono elencati i domini dal più visitato al meno visitato).

Nelle prime due posizioni, come prevedibile, ci sono i motori di ricerca — DuckDuckGo è un motore di ricerca che ha particolarmente a cuore la privacy dei propri utenti — seguiti dai social network e dal sito di Vice, ma anche siti come Stack Overflow e Github, da cui si può quindi desumere che svolgo attività legata alla programmazione.

Visualizzando invece i siti web sulla base dei domini di primo livello — per intenderci, nel caso di www[.]facebook[.]com il dominio di primo livello è il .com — è possibile notare una predominanza di domini di tipo commerciale ma anche indicazioni sulle nazioni a cui sono affiliati i siti web come, ad esempio, .it, fornendo così informazioni di interesse geografico.

La cronologia del browser salva anche l'orario in cui visitiamo una pagina, in questo modo è quindi possibile ricostruire dei pattern della nostra attività giornaliera.

Nell'immagine sono evidenziate chiaramente due fasi distinte: la mia attività lavorativa online in verde e la fase di relax e del sonno notturno in rosso. Si possono notare anche dei picchi di colore giallo e verde nella mia attività di ricerca giornaliera, evidenziati nella foto seguente.

Inoltre, sottolinea Rao, "con l'analisi dei pattern del sonno si possono individuare anche irregolarità che potrebbero essere indicatori di vari problemi di salute presenti o futuri, come malattie cardiache o insonnia." L'analisi che offre Hakuna Metadata, però, non si ferma qui: analizzando le parole chiave presenti nelle URL è possibile dedurre anche gli interessi di una persona.

Nel mio caso si possono notare le parole Robotic, Digital, Research, Intelligence, Computer, Security, tutte collegate ai miei interessi nell'ambito lavorativo. Come spiega Rao, "possiamo considerare i metadati come i mattoncini Lego della profilazione online: i pattern e le informazioni che si possono trarne sono sconvolgenti."

Il potere dei metadati attira quindi l'attenzione di aziende interessate alle nostre informazioni che sono disposte ad acquistarli anche dai fornitori di servizi internet, proprio come è stato recentemente concesso in America, e seppur in Europa, aggiunge Rao, questa pratica non sembra essere molto diffusa, non è certamente da escludere.

Inoltre, "la definizione europea di metadati è chiaramente obsoleta e il nuovo regolamento sull'ePrivacy proposto dal Parlamento Europeo rafforza alcuni elementi per la protezione dei metadati" limitando molto spesso il loro utilizzo ai soli fini tecnici — ricordiamo infatti che certi metadati sono utili per il corretto funzionamento dei servizi, come ad esempio il destinatario delle mail — ma il regolamento sta subendo molte pressioni da parte delle lobby per ridurre la sua efficacia e presenta comunque ancora dei punti problematici.

"We kill people based on metadata."

"Se vogliamo capire l'interesse e l'importanza dei metadati collegati alle nostre comunicazioni digitali, l'acquisto per 19 miliardi di dollari di Whatsapp da parte di Facebook è un caso emblematico," sottolinea Rao, ma anche i metadati collegati alle nostre mail possono rivelare molte informazioni: è possibile delineare il nostro network di contatti ed addirittura la struttura dell'azienda in cui siamo assunti semplicemente sulla base degli indirizzi che aggiungiamo in copia alle nostre mail, e persino capire quali sono i progetti a cui un'azienda sta lavorando semplicemente analizzando il testo nell'oggetto della mail. Tutte queste informazioni sono già a disposizione dei servizi mail che utilizziamo.

Inoltre, aggiunge Rao, "i metadati possono essere spesso incompleti e questo potrebbe causare gravi errori negli algoritmi di profilazione, poiché si troverebbero davanti solamente un'immagine parziale degli utenti."

"Esistono delle soluzioni per mitigare la produzione di metadati," suggerisce Rao, "come utilizzare servizi che riducono al minimo la loro archiviazione, come ad esempio l'app di messaggistica Signal che non monetizza i dati raccolti, al contrario di quanto fa Facebook con Whatsapp. Purtroppo anche Signal non è stata progetta per nascondere i metadati di default, quindi applicazioni di messaggistica istantanea come Richochet e Vuvuzela possono offrire maggiori garanzie di anonimato."

Al momento, però, non è possibile abbandonare i servizi mail, che sono profondamente consolidati all'interno dell'attività di lavoro e di ricerca di milioni di persone, e purtroppo il protocollo che ne permette il funzionamento non garantisce la protezione dei metadati. Inoltre, aggiunge Rao, "anche se ci fidiamo del fornitore del servizio mail, quando la comunicazione passa attraverso i vari nodi della rete internet è comunque soggetta a raccolta dei metadati: l'unica soluzione sarebbe utilizzare servizi come Lavabit — un tempo utilizzato addirittura da Snowden — in grado di mascherarli."

Hakuna Metadata si inserisce all'interno di un più ampio progetto di Siddharth Rao in cui la seconda fase è costituita da ALTwitter, un sito che permette di visualizzare le informazioni raccolte dai metadati che i membri del parlamento europeo producono con la loro attività su Twitter. Questi strumenti indicano chiaramente quanto sia importante ridurre la quantità di metadati che si possono raccogliere e sollevano l'attenzione sui rischi di violazione della privacy online.