SHIELD

Realtà dell'esposizione

Broker di dati: la fuga che paga lei

Chi raccoglie i suoi dati, come, perché è strutturalmente difficile da fermare, e cosa può ragionevolmente fare.

Pubblicato il 14 min di lettura General

Ultima revisione:

Server di dati in file in un datacenter

Un broker americano mi manda un campione «gratuito» su uno dei miei clienti, per convincermi a comprare il profilo completo. Quarantasette attributi predittivi, tra cui uno score di «probabilità di divorzio entro 24 mesi» calcolato a partire dai suoi acquisti e-commerce e dalla frequenza dei suoi spostamenti in NCC. Il cliente non aveva mai autorizzato chicchessia ad analizzare i suoi acquisti. Nessuno gli aveva mai chiesto niente. E il broker mi fatturava l’accesso alla sua vita privata come si fattura un file Excel.

Angle de lecture

La trappola abituale

«Non uso Facebook, quindi non si sa granché su di me.» Questa frase la sento in riunione almeno una volta al mese, ed è falsa a un punto che disorienta chi la pronuncia. La quasi totalità dei dati che un data brokerAzienda che raccoglie, aggrega e rivende dati personali su larga scala. detiene su di lei non viene dai social network. Viene da tutto il resto: la carta fedeltà del supermercato, il modulo di garanzia che ha rispedito per la sua lavastoviglie, l’applicazione meteo che rivende la sua geolocalizzazione, il concorso a cui ha partecipato nel 2017, il registro delle imprese, l’operatore telefonico in certe giurisdizioni. I social network sono l’albero. I broker sfruttano l’intera foresta, e la foresta continua a crescere anche se lei taglia l’albero.

Il secondo riflesso, più sofisticato, consiste nel dire: «Il GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018. mi protegge, ho un diritto di accesso e di cancellazione, quindi posso pulire.» È vero sulla carta e in gran parte illusorio in pratica. Il GDPR le dà diritti opponibili a un titolare del trattamento identificato. Ora, l’industria del brokerage poggia precisamente sull’opacità della catena: lei non sa chi detiene il suo profilo, quindi non può esercitare un diritto contro un soggetto che ignora. E quando ottiene la cancellazione presso uno, il suo profilo viene reiniettato tre mesi dopo da una fonte secondaria che il primo aveva già rivenduto. Lei svuota un secchio bucato.

La terza trappola è commerciale. Le vendono un abbonamento a un servizio di opt-outAzienda che raccoglie, aggrega e rivende dati personali su larga scala. automatizzato — Incogni, DeleteMe, Optery — e le lasciano credere che la sottoscrizione chiuda la questione. Questi servizi hanno un vero valore, ci ritorno a lungo. Ma il discorso marketing che li circonda alimenta esattamente la stessa finzione che smonto in I suoi dati sono già pubblici: l’idea che esista uno stato «pulito» verso cui si potrebbe tornare. Questo stato non esiste. L’inquadramento giusto non è «eliminare i miei dati dai broker», obiettivo irraggiungibile, ma «ridurre il rumore sfruttabile e accettare di vivere in uno stato di fuga documentato».

Chi sono gli attori, e cosa sanno davvero

L’industria del data brokerage è antica, massiccia, e invisibile al grande pubblico. Il rapporto di riferimento della FTCIntelligence da fonti aperte (pubbliche): social network, registri, archivi. del 2014 — datato sulle cifre, intramontabile sui meccanismi — censiva già broker detentori di oltre 700 miliardi di elementi di dati aggregati. Dieci anni dopo, l’ordine di grandezza è esploso, non diminuito.

In cima, gli aggregatori maggiori. Acxiom, acquisita da LiveRamp nel 2018, mantiene profili su circa 2,5 miliardi di persone, con in media quasi 1500 attributi per profilo. Experian combina valutazione del credito e brokerage. Oracle Data Cloud (ex Datalogix poi BlueKai) è stato a lungo un pivot pubblicitario prima che Oracle ne annunciasse lo smantellamento progressivo nel 2022 — prova, peraltro, che persino i giganti riconfigurano le loro linee data quando la pressione regolamentare sale. LexisNexis Risk Solutions alimenta l’assicurazione, il giuridico, il settore pubblico. Epsilon e LiveRamp strutturano il matching cross-device, cioè la capacità di ricomporre la sua identità tra il suo telefono, il suo computer e la sua televisione connessa.

Al di sotto, gli specialisti. I servizi di people search americani — Spokeo, Whitepages, BeenVerified, Radaris — che aggregano registri pubblici e dati commerciali per vendere rapporti su qualsiasi privato, a 20 o 30 dollari l’uno. CoreLogic sull’immobiliare. E la nebulosa dei broker europei, più discreti perché più esposti al GDPR: Schober in Germania, vari attori di data management platform locali che rivendono segmenti di pubblico senza mai apparire nel suo campo visivo.

Ciò che detengono si classifica in tre strati. I dati dichiarativi anzitutto: nome, indirizzi successivi, telefoni, e-mail, data di nascita, composizione del nucleo familiare, stato civile, figli, redditi stimati, patrimonio inferito, proprietà immobiliare. I dati comportamentali poi: storia degli acquisti ricostruita tramite le carte fedeltà e le partnership e-commerce, navigazione web captata dai pixel marketing, geolocalizzazione approssimativa rivenduta da applicazioni mobili che non hanno alcuna ragione funzionale di raccoglierla, abitudini di consumo dei media. Gli scoring predittivi infine, ed è lì che diventa sgradevole: probabilità di acquisto per categoria, rischio finanziario, fase di vita (trasloco imminente, nascita, pensionamento), e sì, in certi cataloghi americani, segmenti tanto intrusivi quanto «persona in lutto recente» o «nucleo familiare in difficoltà finanziaria».

Come arrivano lì i suoi dati? Attraverso tre canali. Le fonti contrattuali: carte fedeltà, banali moduli web, applicazioni mobili gratuite, programmi fedeltà aerei e alberghieri, caselle pre-selezionate che nessuno deseleziona. Le partnership: operatori telefonici che rivendono metadati aggregati a seconda della giurisdizione, fornitori di accesso, emettitori di carte che rivendono aggregati di spese. Le fonti pubbliche: registri legali come la Gazzetta UfficialePubblicazione ufficiale francese degli avvisi legali — equivalente in Italia alla Gazzetta Ufficiale per le imprese., il Registro delle Imprese via Telemaco, liste elettorali a seconda dei paesi. E una quarta categoria che nessun broker serio assume ma che esiste: i database di leak ricomposti sotto l’etichetta «data enrichment», dove dump provenienti da breach vengono ad arricchire i profili legittimi.

Un punto che martello in missione: il valore di un broker non sta nel dato grezzo, che è spesso banale, ma nella risoluzione d’identità. Ricomporre il suo indirizzo e-mail del 2012, il suo numero di telefono del 2019, il suo indirizzo postale attuale e l’identificatore pubblicitario del suo telefono in un solo profilo unico, è questo il mestiere. Un dato isolato non vale nulla; il grafo che li collega vale molto, perché permette di seguirla attraverso i servizi, gli apparecchi e il tempo. È per questa ragione che un opt-out parziale — lei ritira l’e-mail ma lascia il telefono — non rompe il profilo: basta un identificatore pivot ancora valido perché il resto si ricomponga. Quando tratta la sua esposizione, ragioni in identificatori pivot (e-mail, telefono, indirizzo) e non in dati isolati.

Il quadro legale, ovvero perché è strutturalmente asimmetrico

Il terreno giuridico spiega perché il problema resiste. In Europa, il GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018. le dà un diritto di accesso (articolo 15) e di cancellazione (articolo 17). Sulla carta, è solido. In pratica, l’articolo 17 è corredato di eccezioni estese — interesse legittimo del titolare del trattamento, obblighi legali di conservazione, archivi — e soprattutto, presuppone che lei sappia a chi rivolgersi. I broker europei rispondono, spesso al rallentatore e al limite dei termini legali. I broker americani che operano in Europa rispondono quando ritengono di esservi costretti, e il GaranteAutorità italiana per la protezione dei dati, equivalente della CNIL francese, regolatore GDPR per l'Italia. non ha né i mezzi né la giurisdizione per perseguirli tutti.

Negli Stati Uniti, non esiste una legge federale equivalente. Il panorama è un mosaico di Stati. Il California Consumer Privacy Act (CCPA), rafforzato dal CPRA, apre un diritto di opt-out, e l’agenzia californiana ha dispiegato nel 2026 il meccanismo DROP (Delete Request and Opt-out Platform), che permette una richiesta di cancellazione unica propagata a tutti i broker registrati nello Stato — un vero progresso strutturale. Il Vermont impone un registro obbligatorio dei data broker, il che rende almeno la lista pubblica. Altrove negli Stati Uniti, la protezione federale è quasi nulla. Il resto del mondo varia del tutto: il Brasile (LGPD) è allineato al GDPR ma poco applicato, la Cina (PIPL) è allineata in superficie con una finalità statale diversa, e ampie zone d’Asia, Africa e America Latina non offrono alcun ricorso pratico.

La conseguenza operativa è netta: i suoi dati circolano in giurisdizioni dove lei non ha alcuna leva, e la cancellazione che ottiene in una giurisdizione non ha alcun effetto nelle altre. È per questo che l’obiettivo giusto non è la cancellazione — illusoria su scala mondiale — ma la riduzione del flusso nelle giurisdizioni dove lei ha presa, e l’accettazione documentata del resto.

L’approccio giusto: ridurre il rumore, non puntare allo zero

La svolta pragmatica sta in una frase: lei non eliminerà i suoi dati dal mercato, ridurrà il volume di dati freschi e sfruttabili che vi entrano, e farà pulizia là dove è giuridicamente possibile. È una logica di flusso, non di cancellazione definitiva.

Concretamente, tre leve funzionano. La prima è l’opt-out presso gli aggregatori maggiori, fatto a mano, una volta, seriamente. Acxiom, Experian, Oracle, LexisNexis, Epsilon propongono tutti moduli di disiscrizione — spesso nascosti, a volte penosi, ma reali e imposti dalla pressione regolamentare americana ed europea. Tagliare la testa della catena riduce la ridiffusione verso gli attori secondari che si alimentano presso di loro. Negli Stati Uniti, il registro del Vermont e il meccanismo DROP dell’agenzia californiana (CPPA), che permette dal 2026 una richiesta di cancellazione centralizzata presso i broker registrati, sono punti d’ingresso strutturanti anche per un europeo i cui dati sono transitati per piattaforme americane.

La seconda leva è l’automazione per abbonamento, per la lunga coda delle decine di broker secondari che lei non andrebbe mai a trattare individualmente. È il ruolo di Incogni, DeleteMe, Optery. Siamo onesti su ciò che fanno e non fanno. Incogni (edito da Surfshark) copre circa 180-220 broker, invia richieste GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018. e CCPA automatizzate, non tocca né i database di leak né i registri pubblici, e costa intorno ai 7-8 euro al mese in formula annuale. DeleteMe (Abine) si appoggia su operatori umani, copre una trentina di broker a dominante americana, e fattura di più. Optery rivendica la più ampia copertura (250+ broker) con una trasparenza apprezzabile: le mostrano, profilo per profilo, lo stato di ogni richiesta e forniscono screenshot dell’esposizione trovata e poi eliminata. Per un europeo, Optery o Incogni fanno il lavoro; DeleteMe è pertinente soprattutto per i profili con forte impronta americana.

La terza leva è il lavoro manuale non delegabile, quello che nessun abbonamento farà al suo posto: chiudere il rubinetto alla fonte. Disattivare la geolocalizzazione nelle applicazioni che non ne hanno bisogno, revocare le condivisioni marketing delle carte fedeltà, chiudere gli account dormienti degli ultimi cinque anni, rifiutare sistematicamente le caselle di rivendita. È questo lavoro che riduce il flusso di dati freschi. Gli opt-out trattano lo stock; la disciplina di igiene tratta il flusso. Entrambi sono necessari, e l’abbonamento non dispensa dal secondo.

Una parola sulla trappola del rimedio peggiore del male: certi broker di tipo people search le propongono una cancellazione… in cambio della creazione di un account presso di loro, con verifica d’identità tramite documento ufficiale. Lei dà allora più dati di quanti ne detenevano. Non fornisca mai un documento d’identità a un broker per esercitare un opt-out; il GDPR esige una verifica proporzionata solo in casi limitati, e un broker serio si accontenta di una conferma via e-mail.

Cosa comporta concretamente

Angle de lecture

Per lei, come persona

Lei ha probabilmente lasciato una scia di dati presso decine di broker che non conosce, accumulata su dieci-vent’anni. Non la farà sparire. Ridurrà il rumore e taglierà l’alimentazione. Tre priorità, azionabili questa settimana, per meno di 200 euro sull’anno.

  1. Faccia l’opt-out manuale dei cinque aggregatori maggiori — Acxiom, Experian, Oracle, LexisNexis, Epsilon. Conti un’ora e mezza, modulo per modulo, con un monitoraggio delle conferme in una semplice tabella. È gratuito, ed è il gesto con il miglior rapporto sforzo/impatto perché taglia la testa della catena di ridiffusione.

  2. Sottoscriva un servizio di opt-out automatizzato per la lunga coda — Incogni o Optery a seconda della sua tolleranza al prezzo, 100-150 euro all’anno. Non lo veda come una soluzione, ma come un abbonamento di pulizia ricorrente: rinvia le richieste ogni trimestre perché i broker la reiniettano. Verifichi il suo rapporto di esposizione una volta a trimestre, dieci minuti.

  3. Chiuda il rubinetto alla fonte. Nelle impostazioni del suo telefono, passi in rassegna le autorizzazioni di localizzazione e le tagli per ogni applicazione che non ne ha un bisogno evidente. Deselezioni le condivisioni marketing delle sue carte fedeltà (Esselunga, Coop, Sephora, e le altre). Chiuda gli account che non ha usato da cinque anni. È gratuito, ed è ciò che impedisce ai suoi dati futuri di alimentare il mercato.

Il resto è una disciplina annuale, non uno sprint. Blocchi mezza giornata all’anno per rigiocare questi tre gesti. È sufficiente per il 95% dei profili.

Per lei, CISO / Direzione IT / dirigente

I broker sono l’angolo cieco del suo programma di protezione dei dati. Lei protegge ciò che tratta; loro sfruttano ciò che i suoi collaboratori e i suoi dirigenti lasciano trapelare, senza che lei abbia la minima presa. Tre punti per integrare questa realtà nel suo inquadramento.

1. L’esposizione delle sue persone chiave tramite i broker è un dato d’ingresso del suo threat model, non un argomento HR collaterale. I broker e i servizi di people search permettono di ricostruire, per qualche decina di euro, gli indirizzi di domicilio, i numeri personali, la composizione familiare e il patrimonio stimato dei suoi dirigenti. È il carburante dello spear-phishingPhishing mirato a una persona specifica, costruito a partire dal suo profilo OSINT. e del social engineeringManipolazione umana per ottenere informazioni o azioni, aggirando le difese tecniche. mirato. Conseguenza diretta: aggiunga una riga «broker exposure» all’audit di esposizione annuale del comitato esecutivo e delle funzioni sensibili (legale, M&A, finanza, R&D), allo stesso titolo di un pentest applicativo.

2. La sua conformità GDPR non misura la sua esposizione reale. Un’organizzazione perfettamente conforme — registro dei trattamenti aggiornato, DPO nominato, NIS 2Direttiva europea (2022/2555) che estende gli obblighi di cybersicurezza alle entità essenziali e importanti. in corso — può avere l’intero comitato esecutivo vendibile presso una decina di broker. Sono due dashboard distinte. Conseguenza diretta: distingua esplicitamente, in governance, l’indicatore di conformità (copertura giuridica) e l’indicatore di esposizione operativa (ciò che è acquistabile sulle sue persone). Questa seconda dashboard è quasi sempre assente, o peggio, affidata a una soluzione marketing che si limita a riformattare dati pubblici.

3. Lei può finanziare un broker monitoring di livello dirigente per il prezzo di una giornata di consulente. Gli abbonamenti Optery/DeleteMe in versione «business» o «family» coprono più identità per qualche centinaio di euro all’anno e a persona. Conseguenza diretta: per un comitato esecutivo di dieci persone, un budget dell’ordine di 2.000-4.000 euro annui copre l’opt-out automatizzato e il monitoraggio. È marginale a fronte della sua linea EDR, e tratta un vettore che la sua DLPSoluzione che rileva e blocca le fughe di dati sensibili (email, file, appunti). e il suo CASBSoluzione che si interpone tra utenti e app cloud per applicare politiche di sicurezza. non vedono affatto.

Errori che si vedono di continuo

  • Sottoscrivere un abbonamento di opt-out e considerare la questione chiusa. L’opt-out tratta lo stock; senza tagliare l’alimentazione (geoloc, carte fedeltà, moduli), lei paga per svuotare un secchio che si riempie di continuo.
  • Fornire un documento d’identità a un broker per «accelerare» la cancellazione. Lei gli dà più dati di quanti ne detenesse. Un opt-out legittimo non richiede mai un passaporto.
  • Ignorare gli aggregatori maggiori e trattare solo la lunga coda. Tagliare Acxiom o LexisNexis ha più impatto che disiscrivere dieci people search secondari che si rialimentano presso di loro.
  • Dimenticare i broker europei e fuori portata. Il focus americano dei servizi di massa lascia angoli ciechi in Germania, in Italia e fuori dall’UE, dove certi dei suoi dati circolano senza alcun ricorso pratico.
  • Confondere cancellazione e deindicizzazione. Ottenere una rimozione Google (diritto all’oblioArticolo 17 del GDPR: diritto alla cancellazione dei propri dati personali a determinate condizioni.) non cancella nulla presso il broker: il dato resta vendibile, è solo meno visibile in una ricerca di massa.

Checklist azionabile

  • N1 Fare l'opt-out manuale dei 5 aggregatori maggiori (Acxiom, Experian, Oracle, LexisNexis, Epsilon) e tracciare ogni conferma
  • N1 Sottoscrivere un servizio di opt-out automatizzato adatto al profilo (Incogni o Optery per l'Europa, DeleteMe se forte impronta US)
  • N2 Disattivare la geolocalizzazione delle applicazioni che non ne hanno un bisogno funzionale evidente
  • N2 Deselezionare le condivisioni marketing / rivendita delle carte fedeltà e chiudere gli account inattivi degli ultimi 5 anni
  • N2 Non fornire mai un documento d'identità a un broker per esercitare un opt-out
  • N3 Per profilo esposto: ordinare un rapporto people search americano su di sé per misurare l'esposizione reale
  • N3 Per organizzazione: aggiungere una riga 'broker exposure' all'audit di esposizione annuale del comitato esecutivo e seguire il tasso di ricomparsa a 90 giorni
  • N3 Per profilo US: richiesta di cancellazione tramite il registro Vermont e il meccanismo DROP della CPPA californiana

Per approfondire

Il rapporto della FTC del 2014, Data Brokers: A Call for Transparency and Accountability, resta la mappatura di riferimento dei meccanismi dell’industria, anche se le sue cifre sono invecchiate. Per seguire l’evoluzione regolamentare, il registro del Vermont e il meccanismo DROP dell’agenzia californiana (CPPA) documentano in chiaro la lista dei broker registrati e le procedure di cancellazione centralizzata — utili anche dall’Europa. Sul versante pratico GDPR, il Garante dettaglia i ricorsi in materia di marketing e rivendita di dati. Tutte queste fonti figurano nel frontmatter. Per l’inquadramento strategico d’insieme, veda I suoi dati sono già pubblici e, per i gesti concreti a valle, L’audit di esposizione e Il diritto all’oblio.

Fonti e approfondimenti

Articoli correlati