Le grandi ricchezze degli over the top sono costruite sui dati. Ma perché invece nel panorama italiano si fa ancora un’enorme fatica? Analizziamo le strategie messe in campo dalle grandi aziende e come data monetization e privacy possano dimostrarsi sinergici.
Il Gdpr e non solo
In Italia occorre anteporre la parola “sanzioni” all’importanza intrinseca della privacy delle persone fisiche e, a volte, neanche l’obbligatorietà dell’apparato normativo basta. Il GDPR ci ha immerso nel mondo dell’Accountability, ma occorrerebbe, per aver rispetto di questo principio, prima di tutto una trasformazione di mentalità ad una “situational awareness”, un vero e proprio passaggio storico da un approccio formale ad un approccio sostanziale, cioè capire cosa si fa e perché.
Effettuare meri adempimenti, burocrazia, solo per “evitare sanzioni” è superfluo; anche se, a malincuore, molti addetti ai lavori si sponsorizzano visibilmente on line ancora con tale messaggio promozionale. Il principio dell’accountability, che ritroviamo all’art.5 paragrafo 2 del GDPR 2016/679, si basa sul concetto fondamentale del “dimostrare”, del rendere conto di ciò che si è fatto e del motivo per cui si è fatto o meno. Da un punto di vista lessicale, infatti, il termine in questione è una parola composta: il verbo to account è traducibile in italiano come “rendere conto”, mentre il sostantivo ability indica la “capacità di” o “essere in grado di”. Essere “Accountable” richiede un atteggiamento proattivo e non reattivo, quello che Stephen Richards Covey descrive come: “l’iniziativa e il senso di responsabilità necessari per far sì che le cose accadano”.
GDPR, il pilastro accountability
Se analizziamo questo principio, proprio della privacy by design, non bisogna adattarsi ad una situazione o attendere che accada qualcosa di potenzialmente dannoso per poi porvi rimedio; bensì agire in maniera proattiva essendo consapevoli che, scegliendo responsabilmente la reazione giusta, si può influenzare quella determinata circostanza che si sta vivendo.
Procedendo con questa iniziativa, quindi, non si affronterebbero gli adempimenti richiesti dal GDPR come una “noiosa pratica da svolgere per prevenire una sanzione”; piuttosto: in un’ottica di auspicata proattività, essi dovrebbero rappresentare “la tendenza a responsabilizzarsi” e, da questa fase di auto responsabilizzazione e auto consapevolezza, non può essere escluso che il trattamento di dati personali, di qualsiasi natura essi siano, comporti dei costi in termini di uscite, ma anche possibilità di entrate.
Nei primi sono compresi, escludendo la parte sanzionatoria, gli adempimenti veri e propri in termini anche di implementazione di misure idonee per la protezione dei dati, col fine di ridurre al minimo il rischio residuale sin dalla progettazione. Le entrate, invece, strettamente legate ai primi, soprattutto in termini di business intelligence, fanno riferimento alla competitività sul mercato, all’analisi di grandi volumi di dati strutturati e non, allo sviluppo di nuovi prodotti, alla creazione di nuovi modelli di business, alla monetizzazione verso società esterne: tutto questo è Big Data.
Il termine “Scienza dei dati” è stato introdotto dall’informatico danese Peter Naur per la prima volta nel 1974 e questa materia si è evoluta, in seguito, proprio grazie all’avvento dei Big Data e dell’idea di “valore del dato”. Il principio cardine della Scienza dei dati non è la semplice gestione del dato, ma la necessità di saper interpretare, leggere ed analizzare una grande mole di dati eterogenei, provenienti da diverse fonti (web, data werehouse, sensori, ecc…) al fine di ottenerne un profitto economico (monetizzazione dei dati).
Cos’è la data monetization
La Data Monetization, infatti, è l’atto di trasformare i dati aziendali in valuta, la quale può essere sotto forma di denaro effettivo oppure riferirsi anche a dati personali utilizzati come merce di scambio o come miglioramento o creazione di un prodotto o servizio.
Un esempio, molto riuscito, di investimenti sui Big Data e sulla Data Monetization come creazione di un prodotto, è quello dell’azienda austriaca Herold Business Data GmbH, la quale è attualmente una delle società di media digitali e servizi di marketing di maggior successo in Austria, offrendo un mercato per acquirenti e venditori attraverso elenchi telefonici online e cartacei. La società produce dozzine di prodotti di stampa, tra cui oltre 70 elenchi telefonici regionali e oltre 20 numeri e guide speciali, nonché numerosi prodotti on line, tra cui Herold.at, applicazioni mobili, dati per il marketing diretto, marketing per la ricerca e servizi di pubblicità online.
Herold Business Data raccoglie dati su 360.000 aziende, inclusi indirizzi, numeri di telefono, feed, recensioni, consigli degli utenti, valutazioni, foto e descrizioni di testo, nonché una directory di 3,6 milioni di numeri di telefono. Herold.at è uno dei siti più grandi in Austria, raggiungendo oltre il 23% percento degli utenti internet attivi nel paese. La sfida di Herold è stata inizialmente quella di integrare questo complesso volume di dati strutturati e non strutturati acquisiti nei suoi sistemi (che erano in quel momento formati da 15 database separati) investendo su una tecnologia che riuscisse a gestire i Big Data ed, in seguito, monetizzare i dati, cioè creare ed introdurre rapidamente sul mercato nuovi prodotti digitali che avrebbero aiutato l’azienda a rimanere all’avanguardia, dimostrando al contempo il ritorno sugli investimenti alla direzione.
Approcci e ostacoli alla data monetization
Barbara H. Wixom e Jeanne W. Ross, principali ricercatrici presso il MIT Center for Information Systems Research, nella loro interessante ricerca del 2014 “How to monetize your data” hanno delineato tre diversi approcci di monetizzazione dei dati: il miglioramento dei processi e delle decisioni aziendali interni; il wrapping e la vendita di dati a mercati nuovi ed esistenti.
Il primo approccio è basato sull’utilizzo dei dati per migliorare la produttività attraverso strumenti di analisi complessi ed interazioni ottimali tra clienti e venditori, al fine di eseguire previsioni di vendita sempre più precise (ad es. per la distribuzione di un nuovo software aziendale). Il wrapping (“avvolgimento”) si basa sull’idea che le aziende identifichino i problemi dei loro clienti e vi trovino una soluzione analizzando i dati personali. Si tratta di un fenomeno basato sull’opportunità di arricchire (avvolgere) i propri prodotti, servizi ed esperienze dei clienti, attraverso il monitoraggio ed il raggruppamento di report, avvisi e altre informazioni per aggiungere valore ai prodotti (ad es. su carte di credito, monitor sanitari, ecc… ) con gli obbiettivi di generare aumenti delle vendite e una più profonda fidelizzazione dei clienti. L’ultimo approccio, infine, consiste nella pura vendita dei dati personali della propria azienda a mercati nuovi o già esistenti attraverso la creazione di nuove linee di business.
Lo studio di B.H.Wixom e J.W. Ross ha posto in evidenza due principali ostacoli alla monetizzazione dei dati personali. Il primo è l’accessibilità e la qualità dei dati di un’azienda, in quanto dalla ricerca è emerso che soltanto un quarto delle società offriva ai dipendenti ed ai clienti un facile accesso ai dati di cui avevano più bisogno e non si potevano, quindi, monetizzare i dati che nessuno aveva; oltre a risolvere il problema della qualità dei dati con grandi investimenti in nuove infrastrutture. Il secondo ostacolo è l’eventuale mancanza di accountability, poiché tutti e tre gli approcci alla monetizzazione dei dati richiedono leader che possano reindirizzare i comportamenti dei dipendenti per fornire una nuova importante proposta di valore.
Ogni approccio alla monetizzazione dei dati richiede una tipologia di leader diverso, ma con un unico comun denominatore: riunire un proprio team per sperimentare e progettare metodologie che aiutino ad analizzare gli impatti delle funzionalità delle informazioni e rispondere rapidamente alle nuove opportunità di business. Ciascuna delle strategie di monetizzazione dei dati richiede nuovi processi, competenze e culture per generare i massimi rendimenti. Le aziende con esperienza nella monetizzazione dei dati hanno appreso che non è sufficiente mettere semplicemente dati in un sistema e strumenti nelle mani dei dipendenti. Microsoft, ad esempio, ha perfezionato gli obiettivi, ripulito i dati, perfezionato report e algoritmi, aumentato il talento del proprio personale e cambiato le abitudini.
Data monetization: quanto valgono i dati?
Oltre, quindi, alla monetizzazione dei dati personali come miglioramento o creazione di prodotti o servizi, si sta affermando sempre di più l’idea della vera vendita dei propri dati personali in cambio di effettivo denaro oppure del loro utilizzo come merce di scambio. Quest’ottica, non più di business aziendale, ma di puro guadagno personale, fa mal sperare, per il futuro, sulla reale applicazione del GDPR e sulla difesa del diritto dell’individuo alla protezione della propria vita privata.
Già nel 2013 il Financial Times pubblicò un calcolatore on line dal titolo “What is your data worth?” che consentiva agli utilizzatori di scoprire quanto valessero i propri dati personali sul mercato, secondo l’industria dei broker di dati, in base a cinque diverse categorie (demographics, family and health, property, activities, consumer). Per ogni categoria sono state incluse moltissime peculiarità soggettive (età, sesso, codice postale, livello di istruzione, etnia, posizione lavorativa, preferenze di consumo, sport, malattie, ecc…) alle quali è stato singolarmente attribuito un valore di mercato. Per chi volesse divertirsi o rattristarsi nel calcolare il valore della propria vita, il sito da visitare è: https://ig.ft.com/how-much-is-your-personal-data-worth/.
Un’esperienza interessante, anche se un caso isolato, è stata quella dell’ingegnere torinese residente a New York Federico Zannier (“A Bite of Me”) il quale ha messo in vendita per 2 dollari al giorno la sua vita (foto, e-mail, geolocalizzazioni, cronologia delle ricerche sul web, conversazioni in chat, pagine web visitate, ecc…) sulla piattaforma Kickstarter (piattaforma di crowdfunding).
La cifra raccolta da Zannier in una settimana è stata di ben 1.200 dollari, che sarebbe stata reinvestita per la creazione di un suo più ampio progetto alla base del quale vi era l’idea che se tutte le persone avessero messo a disposizione direttamente ed autonomamente la propria vita personale, le società avrebbero dovuto pagare direttamente gli utenti per usufruire dei loro dati. Negli ultimi tempi, infatti, sono state create numerose applicazioni per vendere i propri dati personali online, come People.io, Wibson, Citizen.Me, con le quali gli utenti possono liberamente seguire l’esempio di Zannier.
I dati personali come moneta
Un altro curioso esperimento è stato condotto da Kasperky Lab, azienda russa di sicurezza informatica, che nel 2017 creò un vero “Data Dollar Store” per due giorni a Londra, cioè un negozio dove l’unica moneta che si potesse utilizzare per fare acquisti erano i dati personali contenuti all’interno dello smartphone degli avventori (immagini, testi, video) con l’obbiettivo di sensibilizzare i clienti all’importanza della protezione dei dati personali.
Il mondo ormai si basa sui Big Data. Possedere più informazioni possibili vuol dire ricchezza, avere basi su cui fare predizioni, battere i competitor, arrivare prima sul mercato. Per realizzare tutto questo, occorrono grandissime quantità di dati; dei quali, ovviamente, quelli più costosi ed appetibili risultano essere quelli appartenenti a categorie particolari (come evidenzia anche il tool del Financial Times).
Ogury, azienda tech specializzata in mobile journey marketing, ha condotto uno studio su oltre 280mila utenti mobile (di cui più di 23.000 in Italia) per analizzare i loro comportamenti in merito a privacy, dati, marketing ed advertising. Gli esiti della ricerca non sono stati affatto confortanti in quanto il 71% del campione sarebbe disposto a condividere i propri dati sull’uso di app e siti web anziché pagare per accedere ai contenuti; il 59% degli italiani avrebbe scarsa conoscenza sull’utilizzo dei propri dati da parte delle aziende; il 39% dei soggetti in Europa ha dichiarato di non conoscere ancora cosa sia il GDPR.
Una ricerca simile, condotta in Italia di recente da Kaspersky Lab, ha evidenziato che il ben 29% dei soggetti intervistati ha dichiarato di essere disposto a condividere i propri dati per poter ottenere qualcosa in cambio gratuitamente; il 39%, invece, sarebbe disposto a dare ad uno sconosciuto l’accesso totale ai propri dati personali in cambio di denaro.
Dietro le quinte: data broker e dark web
I Data Broker di questo ne hanno piena conoscenza, tanto che ne è stata creata una figura professionale ed un business: intermediari-trader di dati. I Data Broker, come intermediari, raccolgono informazioni online sui consumatori (ignari dell’intero processo) da centinaia di fonti pubbliche, le aggregano, le interpretano e le analizzano per poi venderle ad aziende e/o individui (altri Data Broker) suddivisi in cluster: per interessi di consumo (viaggi, moto, libri) per fasce d’età (giovani, anziani) o per patrimonio (abbienti, meno abbienti), così da poter pianificare al meglio campagne più efficienti.
Ne sono un esempio le app gratuite che scaricano la rubrica e i dati degli utenti dagli smartphone per poi rivenderli ai Data Broker. Questo trend è un fenomeno talmente in crescita che anche Apple è stata costretta a vietare esplicitamente dal suo Store la possibilità agli sviluppatori di vendere le rubriche.
La Data Monetization, però, oltre al suo modus operandi “legalmente accettabile” esposto nei molteplici studi descritti fino ad ora, possiede anche un oscuro rovescio della medaglia: il Dark web.
Il Dark web è un immenso mercato virtuale, dove non si vendono solo dati personali, nel quale l’utente gode dell’anonimato, costituito da informazioni rubate (carte di credito, account finanziari, tessere fedeltà, ecc…) in seguito ad episodi di hacking, a causa dei quali i dati personali vengono acquisiti e venduti illegalmente.
Il business dei dati: formati e prezzi
I cyber analyst di Experian (società irlandese multinazionale di reportistica del credito al consumo) hanno stilato un elenco di prezzi, che si modifica col tempo a seconda della domanda e dell’offerta di mercato, attraverso una stima aggregata basata su articoli di riferimento e sulla loro esperienza, calcolando dei valori approssimativi per alcuni dei dati personali più venduti nel Dark Web: carta di credito $5-$110 (con numero CVV $5, con dati anagrafici e numeri di conto $30); informazioni di accesso ai servizi di pagamento online (es. Paypal) $20-$200; carta fedeltà $20; diplomi $100 – $400; patente di guida $20; passaporti $1000 – $2000; cartelle mediche $1- $1000; ecc…
Tutte queste informazioni vengono solitamente acquistate e vendute principalmente in tre modalità: si possono acquistare i dati una tantum; si acquistano i dati all’ingrosso, lotti degli stessi tipi di informazioni oppure si acquistano dati pacchettizzati; quest’ultimo è il lingotto più bramato per i ladri di identità in quanto include vari tipi di informazioni che sono raggruppate insieme.
L’Università di Berkeley (California) ha stimato che le pagine presenti nella sotto-rete ammontano a ben 7.5 petabytes, cioè 400/550 volte più vasta del surface web.
Nell’era delle città Smart, dei Big Data, dell’intelligenza artificiale e dell’Internet of Things, il World Wide Web non è mai stato realmente gratuito. Alla luce degli studi condotti sulla monetizzazione dei dati personali, le “cyber informations”, provenienti dal surface web, non sembrano essere realmente gratuite, poiché vengono “barattate”, spesso inconsapevolmente ed ingenuamente dagli utenti, con un’immensa mole di altre informazioni di grandissimo valore economico: i propri dati personali.
In conclusione
Le risposte a tutto questo ed al “bisogno di protezione”, sentito ovviamente da chi non desidera vendere la propria vita online, risiedono proprio nel principio dell’accountability, nelle misure idonee di sicurezza, nel documento di valutazione dei rischi, nelle policy aziendali interne e, quindi, nel Regolamento Europeo 2016/679; il quale, affiancato al neo arrivato Cybersecurity Act (entrato in vigore il 27 giugno scorso) ed alla Direttiva NIS (Network and Information Security) mirano a creare un quadro di riferimento normativo comunitario con l’intento di irrobustire la sicurezza informatica e rafforzare le misure difensive contro gli attacchi esterni per la tutela delle informazioni. Nuove sfide, quindi, attendono l’Unione Europea ed ogni singolo Stato Membro, poiché la macchina normativa, come un vero e proprio cyborg, dovrà essere in grado di evolversi e camminare sia in superficie che nelle profondità del mondo cyber.
