“Gli organizzatori non vorrebbero, ma noi lo facciamo lo stesso”. Così rispondono, a chi chiede, i responsabili della presunta diffusione dei dati personali di 31,458 iscritti al Mobile World Congress 2020, la più grande conferenza al mondo sull’innovazione nella telefonia. Il problema è che l’ultima edizione, che si tiene ogni anno a Barcellona, è saltata a causa del rischio Coronavirus.
Ma dove lo staff della GSM Association ha avuto solo problemi - tra rimborsi e prenotazioni saltate - altri hanno visto un’opportunità. Così da giorni cercano di vendere al miglior offerente la lista dei partecipanti, ponendo anche rimedio al rituale scambio di biglietti da visita che da trent’anni accompagna l’iniziativa e che quest’anno è sfumato.
Ma che la lista sia vera è tutto da dimostrare e per farlo sarebbe necessario sborsare 3,774.96 dollari: 0,12 centesimi per ciascuna riga. A fronte di un costo abbastanza contenuto per le medie del mercato dei dati, la promessa è di entrare in possesso di nome, cognome, indirizzo email, numero di telefono professionale, indirizzo aziendale e codice postale di un’enorme quantità di professionisti del settore dell’innovazione. Tutti contatti utili se si deve inviare un comunicato stampa o si è in cerca di nuove opportunità imprenditoriali.
A gestire la trattativa è l’account di posta elettronica intestato a una donna dal nome spagnolo, che opera per conto dell’azienda Datainformatics. Così almeno si chiama l’indirizzo da cui proviene la mail, che secondo il registro mondiale dei domini risulta acquistato il 4 febbraio 2020 in India. A meno di un mese dall’inizio del Mobile World Congress, che si sarebbe dovuto tenere tra il 24 e il 27 febbraio, ma comunque prima che il Coronavirus ne obbligasse la cancellazione.
Da una verifica di Agi l’azienda non sembra esistere realmente. Al contrario, l’organizzazione indicata come registrante sarebbe tale CGI, omonima di una multinazionale dell’informatica che è comunque estranea ai fatti e che non è riconducibile all’indirizzo indiano indicato in fase di registrazione, come accertato da Agi.
“Grazie per averci contattato, ecco un campione del database”, risponde l’addetta alla vendita del database, scambiando la richiesta di informazioni di Agi per un interesse all’acquisto. In allegato un file excel con ventisette nominativi e relativi dati. Agi ha provato a contattare ciascuna delle persone coinvolte per informarle e capire se il campione fosse legittimo, accertando che almeno ventiquattro delle email fornite sono funzionanti. Le tre restanti risultano invece disattivate.
Sono state le vittime a rendere possibile maggiore chiarezza sulla vicenda, rispondendo alle domande di Agi e precisando che quest’anno non avrebbero dovuto partecipare al Mobile World Congress. Tutti quelli che hanno risposto hanno però spiegato di aver partecipato a edizioni passate dell’evento, ed è quindi questa la ragione più probabile per la quale sono finiti su quel database.
“La GSM Association non vuole che vendiamo l’archivio perché loro perderebbero mercato”, risponde ad Agi l’intermediaria: “In ogni caso abbiamo aggregato, compilato e aggiunto informazioni raccolte esclusivamente tramite canali pubblicamente accessibili”. Dunque un lavoro principalmente manuale, difficilmente compatibile con la dimensione dell’archivio promesso ma sicuramente più verosimile per la realizzazione di una lista di appena ventisette nomi: quelli necessari a convincere potenziali acquirenti.
Di questo sembrano convinti anche gli organizzatori del Mobile World Congress. Contattata da Agi, la GSM Association ha risposto: “Ogni azienda che organizza eventi è vittima di questo tipo di truffe via mail nelle quali si millanta il possesso dei dati dei partecipanti”, e assicura: “Sono completamente falsi”.
In ogni caso, chiariscono gli organizzatori, la fonte non è un archivio della conferenza, dal momento che questi sono “protetti nel modo più sicuro e in linea con le leggi”. Il riferimento è al Regolamento Generale per la Protezione dei Dati (Gdpr), che sanzionerebbe pesantemente una violazione di questo tipo se mai ci fosse stata. A ulteriori domande di Agi volte ad accertare se fosse stato richiesto il consenso al trattamento dei dati, l’intermediaria ha smesso di rispondere.
Così l’unica reale violazione è quella di chi ha raccolto e diffuso le informazioni contenute nell’archivio (per quanto piccolo), dal momento che questo comportamento “costituisce un trattamento delle stesse senza alcuna base giuridica: avrebbero dovuto quantomeno chiedere il consenso”, ha spiegato ad Agi Giovanni Battista Gallus, avvocato esperto di diritti digitali e membro del Circolo dei Giuristi Informatici: “Di fronte a un simile scenario diventa irrilevante che i dati provengano da fonti aperte, dal momento che vengono venduti e raccolti in una maniera che eccede evidentemente le finalità per le quali potevano essere stati raccolti originariamente”.
Né potrebbe sentirsi libero da obblighi anche chi li avesse acquistati: “È evidente la loro provenienza illecita e il fatto che non sia stato prestato alcun consenso per la specifica finalità: per questo anche l’utilizzatore finale potrebbe essere sanzionato”.