L’Ufficio del Commissario per l’Informazione del Regno Unito (ICO), insieme ad undici autorità di protezione dei dati e della privacy di tutto il mondo, ha pubblicato una dichiarazione in cui chiede alle piattaforme di social media di rafforzare le loro protezioni contro lo scraping dei dati.
Cos’è lo scraping dei dati?
Lo scraping dei dati è il processo di estrazione di grandi quantità di dati pubblicamente disponibili dai siti web utilizzando strumenti automatizzati come i bot, raccogliendo informazioni che gli utenti hanno pubblicato su quella piattaforma. Sebbene le informazioni raccolte siano già pubbliche, se combinate con dati privati o aggiuntivi provenienti da altre fonti, gli attori delle minacce possono utilizzarle per lanciare attacchi mirati o per commettere frodi identitarie. Inoltre, i broker di dati o i marketer possono creare profili utente dettagliati.
Rischi e danni recenti
“Lo scraping dai social media crea rischi per la privacy e potenziali danni, come le informazioni che le persone pubblicano online utilizzate per motivi che non si aspettano, sfruttate in attacchi informatici o utilizzate per frodi identitarie”, afferma l’ICO. Questo problema è stato evidenziato molte volte di recente, causando danni a diverse piattaforme di social media, tra cui Facebook, LinkedIn e TikTok.
Misure proposte contro lo scraping
La dichiarazione congiunta sottolinea che le informazioni pubblicamente disponibili o accessibili sono comunque soggette alle leggi sulla protezione dei dati e sulla privacy. Pertanto, le aziende che gestiscono tali dati sono obbligate a proteggerli implementando misure anti-scraping. Le misure proposte nella dichiarazione includono:
- Implementare controlli tecnici e procedurali multilivello per la protezione.
- Designare un team o ruoli per gestire, monitorare e rispondere alle attività di scraping.
- Utilizzare il “rate limiting” per controllare le visite per ora o giorno per account.
- Monitorare le attività dei nuovi account per interazioni rapide sospette.
- Identificare schemi “bot”, ad esempio, accessi multipli utilizzando le stesse credenziali in breve tempo.
- Utilizzare CAPTCHA per rilevare bot e bloccare gli indirizzi IP correlati se viene rilevato lo scraping.
- Adottare azioni legali, come lettere di “cessazione e desistenza”, contro gli scraper confermati.
- Notificare alle parti interessate e ai regolatori in caso di violazioni dei dati.
- Supportare proattivamente gli utenti nella comprensione e gestione delle impostazioni sulla privacy.
- Assicurarsi della conformità alle leggi sulla privacy se le salvaguardie elaborano informazioni personali.
- Informare gli utenti delle misure adottate contro lo scraping dei dati.
- Monitorare e adattarsi continuamente a nuove minacce; aggiornare i controlli di conseguenza.
- Analizzare le metriche sugli incidenti di scraping per miglioramenti del framework di sicurezza.
Consigli per gli utenti
L’ICO ricorda anche agli utenti delle piattaforme di social media che nessuna salvaguardia è efficace al 100% contro lo scraping. È fondamentale che proteggano attivamente i loro dati, iniziando dal limitare la quantità di informazioni che pubblicano online. Inoltre, agli utenti viene consigliato di leggere le politiche sulla privacy delle piattaforme online che utilizzano per comprendere i rischi e impostare le impostazioni sulla privacy di tali siti per ridurre al minimo la loro esposizione pubblica. “In definitiva, incoraggiamo le persone a pensare a lungo termine. Come si sentirebbe una persona anni dopo, riguardo alle informazioni che condivide oggi?” avverte l’ICO.
Firme congiunte
La dichiarazione è firmata congiuntamente dalle autorità di protezione dei dati nel Regno Unito, Australia, Canada, Hong Kong/Cina, Svizzera, Norvegia, Nuova Zelanda, Colombia, Marocco, Argentina e Messico.