Login
Secondo un nuovo rapporto sulla sicurezza informatica, Google, Microsoft, Facebook, TikTok e la maggior parte dei siti web medici e sanitari raccolgono e vendono illegalmente informazioni sanitarie private, nonostante un giro di vite federale su questa pratica.
Il rapporto, redatto dalla società di cybersicurezza Feroot Security, con sede a Toronto, ha analizzato centinaia di siti web sanitari e ha scoperto che oltre l’86% raccoglie dati privati e li trasferisce a inserzionisti, marketer e società di social media Big Tech senza il consenso degli utenti e in violazione delle leggi sulla privacy.
Quando i pazienti o i consumatori navigano sui loro siti web medici preferiti o di fiducia o fanno il log in nei portali degli ospedali per accedere alle loro cartelle cliniche private, dei bit invisibili di codice HTML – chiamati “pixel di tracciamento” – incorporati nei siti web raccolgono informazioni private, come ad esempio se i pazienti hanno il cancro, la disfunzione erettile o se sono in ritardo con i pagamenti all’ospedale.
Secondo il rapporto, le informazioni vengono impacchettate e vendute per una serie di usi, compresa la cessione ad aziende che si rivolgono ai singoli utenti con annunci pubblicitari su Internet.
Il rischio di scraping [estrazione e immagazzinamento, NdT] dei dati personali è particolarmente elevato nelle pagine di log-in e di registrazione, dove gli utenti di Internet forniscono una marea di informazioni, ignari del fatto che saranno dirottate e vendute. Lo studio ha rilevato che oltre il 73% delle pagine di accesso e di registrazione presentano tracker invisibili che piratano le informazioni sanitarie personali.
Circa il 15% dei pixel di tracciamento analizzati da Feroot registra quanto digitato dagli utenti, raccogliendo numeri di previdenza sociale, nomi utente e password, informazioni su carte di credito e banche e un’infinita varietà di dati sanitari personali, tra cui diagnosi e trattamenti medici.
Lo studio ha dimostrato che “Google è il mietitore di dati dominante in assoluto”. Il 92% dei siti web caricati sul motore di ricerca Google conteneva tecnologie di raccolta dati in ampi settori dell’economia statunitense, tra cui sanità e teleassistenza, servizi bancari e finanziari, compagnie aeree, e-commerce e governi federali e statali.
Il secondo colpevole è Microsoft, con il 50,4% dei siti web sulla sua piattaforma che nascondono strumenti di tracciamento, seguito da Facebook con il 50,2% e da TikTok con il 7,41% e in rapida crescita.
Google, in quanto motore della sua società madre Alphabet, la quarta azienda del mondo in ordine di grandezza, è spesso definita “l’azienda più potente del mondo“. L’80% delle sue entrate è costituito dalla pubblicità, linfa vitale dell’economia digitale globale.
Microsoft e Facebook “completano la Top 3” tra tutte le aziende che violano sistematicamente i dati, secondo il rapporto.
I rappresentanti di Google, Microsoft e Facebook hanno negato che le loro aziende abbiano utilizzato pixel di tracciamento per raccogliere dati personali.
I proprietari dei siti web sono responsabili del controllo della raccolta dei dati, ha dichiarato un portavoce di Google. La politica di Google vieta ai clienti di Google Analytics e della pubblicità, tra cui ad esempio i siti web ospedalieri o di teleassistenza, di raccogliere dati sulla salute in violazione dell’Health Insurance Portability and Accountability Act (HIPAA, Legge sulla portabilità e responsabilità delle assicurazioni sanitarie) degli Stati Uniti. Spetta ai siti web determinare “se sono entità regolamentate dall’HIPAA e quali sono i loro obblighi ai sensi dell’HIPAA”, si legge nella policy di Google.
I dati sanitari personali raccolti da un tracker o da terzi senza il consenso dell’utente costituiscono una violazione dell’HIPAA, ha dichiarato Ivan Tsarynny, CEO di Feroot.
Le grandi aziende tecnologiche “hanno politiche che parlano di protezione delle informazioni sanitarie”, ha detto Tsarynny. Ma “l’applicazione reale di queste politiche è una storia diversa”.
Lo studio di Feroot giunge in concomitanza con la “crescente preoccupazione per le società di data mining che utilizzano pixel/tracker caricati nei browser dai siti web per raccogliere dati sensibili e privati degli utenti”, si legge nel rapporto.
“I legislatori e le autorità governative intervengono sempre più spesso con divieti, restrizioni e ordini esecutivi per limitarli”.
Secondo Becker’s Hospital Review, diciotto grandi sistemi ospedalieri sono stati citati in giudizio quest’anno per aver condiviso dati sanitari sensibili di pazienti con Google, Facebook e altri giganti tecnologici in violazione delle leggi sulla privacy.
Tra questi figurano importanti centri medici accademici come: University of Pittsburgh Medical Center, University of Chicago Medical Center, University of Iowa Medical Center, Northwestern Memorial Hospital di Chicago e University of California San Francisco Medical Center.
A seguito delle crescenti preoccupazioni per il furto di dati e per l’articolo “‘Out of Control’: Dozens of Telehealth Startups Sent Sensitive Health Information to Big Tech Companies” [Fuori controllo: decine di startup di telesalute hanno inviato informazioni sanitarie sensibili a grandi aziende tecnologiche], Feroot ha avviato un’indagine “per accertare l’esatta portata e la pervasività dei pixel/tracker dei social media che raccolgono e trasferiscono dati personali, sensibili e privati utilizzando pixel o tracker”.
La piattaforma di sicurezza che Feroot vende alle aziende “ha permesso di ottenere dati dettagliati sull’e-skimming attivo lato cliente”, ha dichiarato l’azienda.
Feroot ha raccolto i dati sui pixel/tracker durante un periodo di otto settimane a gennaio e febbraio.
L’azienda ha dichiarato di aver esaminato più di 3.675 organizzazioni con siti web specifici in sette settori economici. Ha studiato 108.836 pagine web particolari, tra cui pagine di login, di registrazione e di elaborazione delle carte di credito particolarmente vulnerabili, 227 tracker e 7 milioni di trasferimenti di dati.
I principali risultati di “Beware of Pixels & Trackers” [Attenzione a pixel e tracker]:
- I tracciatori di pixel sono “comuni e abbondanti” – è stata trovata una media di 13,16 pixel/tracker per sito web, “con Google, Microsoft, Meta (proprietario di Facebook), ByteDance (proprietario di TikTok) e Adobe tra i più comuni”.
- Le pagine web “mission-critical”, come le pagine di login o di registrazione, aumentano il rischio di esporre informazioni private. Una media del 5,96% dei siti web presentava pixel/tracker sulle pagine web che leggevano i moduli di input degli utenti contenenti dati sensibili o privati.
- I pixel tracker trasferiscono i dati all’estero, in tutto il mondo: “circa il 5% dei dati trasferiti dai pixel/tracker caricati da siti web con sede negli Stati Uniti viene inviato al di fuori degli Stati Uniti”.
- I pixel tracker raccolgono e trasferiscono dati senza aver prima ottenuto il consenso esplicito dei visitatori.
- I pixel e i tracker vengono caricati da domini vietati dal governo degli Stati Uniti e da vari stati americani e persino da alcuni di questi stessi governi, tra cui Russia e Cina. I dati ottenuti dai siti web russi e cinesi rappresentano un rischio per la sicurezza a causa della sorveglianza e dello spionaggio.
- Meta (proprietaria di Facebook e Instagram) e TikTok, di proprietà della società cinese ByteDance, sono risultati “particolarmente preoccupanti” per i rischi di violazione della privacy e di sorveglianza. Trentaquattro stati americani, controllati sia da repubblicani che da democratici, hanno vietato l’uso di TikTok sui dispositivi governativi. A maggio il Montana ha vietato l’applicazione su tutti i dispositivi personali.
- TikTok è spesso presente indipendentemente dal fatto che l’app TikTok sia stata eliminata o meno. I pixel/tracker di TikTok possono ancora “essere caricati nelle pagine web che gestiscono dati utente mission-critical e possono raccoglierli e trasferirli”.
Il caso GoodRX mette in evidenza l’inganno delle aziende sulla condivisione dei dati
Mentre le grandi aziende rischiano di perdere profitti e reputazione a causa delle violazioni dei dati o di incorrere in multe per averle causate, i singoli individui rischiano una perdita potenzialmente catastrofica della privacy quando i principali siti web sanitari raccolgono e vendono le loro informazioni, secondo la Federal Trade Commission (FTC, commissione federale per il commercio).
A febbraio, la FTC ha multato il popolare sito di farmaci scontati e di telemedicina GoodRx per “non aver segnalato la divulgazione non autorizzata dei dati sanitari dei consumatori a Facebook, Google e altre società”.
L’azione per “impedire a GoodRx di condividere le informazioni sanitarie sensibili dei consumatori a scopo pubblicitario” è stata la prima azione esecutiva della FTC in base alla sua Health Breach Notification Rule [Regole sulla notificazione della violazione (di informazioni) sanitarie].
“Le aziende sanitarie digitali e le app mobili non devono trarre profitto economico delle informazioni sanitarie estremamente sensibili e personalmente identificabili dei consumatori”, ha dichiarato in un comunicato stampa Samuel Levine, direttore dell’Ufficio per la tutela dei consumatori della FTC, dopo l’accordo. “La FTC avverte che userà tutta la sua autorità legale per proteggere i dati sensibili dei consumatori americani dall’uso improprio e dallo sfruttamento illegale”.
L’applicazione della FTC nei confronti di GoodRx ha rivelato un esempio particolarmente eclatante, ma non raro, di come i siti web medici e sanitari aziendali tradiscano la fiducia dei pazienti e ne manipolino i dati, ha dichiarato la FTC.
Secondo la denuncia della FTC, GoodRx ha violato la legge condividendo impropriamente informazioni sanitarie personali sensibili almeno dal 2017, anche se aveva promesso il contrario.
La FTC ha accusato l’azienda di aver “promesso in modo ingannevole ai suoi utenti che non avrebbe mai condiviso le informazioni sanitarie personali con gli inserzionisti o altre terze parti” e di aver apposto in modo ingannevole un sigillo in fondo alla homepage dei suoi servizi di teleassistenza “suggerendo falsamente ai consumatori di essere conforme … all’HIPAA”.
In realtà, secondo la denuncia della FTC, GoodRx “monetizzava le informazioni sanitarie personali dei suoi utenti e utilizzava i dati condivisi con Facebook per indirizzare agli utenti di GoodRx annunci pubblicitari personalizzati sulla salute e sui farmaci su Facebook e Instagram”.
Ad esempio, nell’agosto 2019 GoodRx ha stilato elenchi di utenti “che avevano acquistato particolari farmaci, come quelli usati per trattare le malattie cardiache e la pressione sanguigna, e ha caricato i loro indirizzi e-mail, numeri di telefono e ID pubblicitari mobili su Facebook in modo da poter identificare i loro profili”, secondo la denuncia.
“GoodRx ha poi utilizzato queste informazioni per indirizzare a questi utenti pubblicità relative alla salute”.
Le persone che accedevano ai coupon di GoodRx per acquistare, ad esempio, il Viagra, vedevano annunci di farmaci per la disfunzione erettile sulle loro pagine Facebook o Instagram, secondo la FTC.
“Allo stesso modo, le persone che avevano utilizzato i servizi di teleassistenza di GoodRx per ottenere un trattamento per malattie sessualmente trasmissibili ricevevano annunci per i servizi di test per quelle malattie”.
GoodRx ha rivelato a Facebook i dati relativi all’acquisto di farmaci che riceve dai gestori delle prestazioni farmaceutiche e li ha utilizzati per indirizzare gli annunci.
Utilizzando la piattaforma di Facebook per il targeting degli annunci, secondo la FTC, “GoodRx ha progettato campagne che hanno preso di mira i clienti con annunci basati sulle informazioni sulla loro salute. Per esempio, se un cliente aveva rivelato a GoodRx un possibile problema di disfunzione erettile, era probabile che vedesse poi su Facebook un annuncio come il reperto A della denuncia della FTC”.
A febbraio, GoodRx, azienda californiana da 2,1 miliardi di dollari, ha pagato una sanzione civile di 1,5 milioni di dollari alla FTC per risolvere la denuncia e ha negato qualsiasi illecito.
Howard Danzig, fondatore e presidente di Employers Committed to Control Health Insurance Costs [datori di lavoro impegnati a controllare i costi dell’assicurazione sanitaria], ha dichiarato che “la multa di GoodRx di soli 1,5 milioni di dollari non è nemmeno un buffetto sul polso. Mentre molti datori di lavoro sono così attenti a rispettare le linee guida della legge sulla privacy HIPAA, le grandi aziende tecnologiche in pratica ottengono un lasciapassare”.
“Che ne dite di sanzioni importanti per Facebook, Google e tutti gli altri che hanno beneficiato di queste informazioni?”, ha scritto sulla sua pagina LinkedIn con quasi 9.000 follower.
“Che ne dite di determinare se ci sono state o meno violazioni penali che dovrebbero essere perseguite contro gli individui che hanno effettivamente collaborato per fare questo? Che ne dite di un ‘risarcimento’ da parte delle aziende coinvolte nei confronti delle persone e dei clienti la cui privacy è stata violata?”
La violazione dei dati è avvenuta per “scopi pubblicitari”, ha sottolineato. “Fino a che punto si può essere spingere tutto questo e fino a che punto è stato spinto?”