E se le unità pubblicitarie Lead Ads fossero più dannose delle tecnologie utilizzate da Cambridge Analytica?

Oggi ero in aula, anche se virtualmente, con la classe di una Business School e tra gli argomenti che abbiamo affrontato, c’era anche l’advertising su Facebook.
La lezione prevedeva anche la trattazione dei cosiddetti Lead Ads, ovvero dei formati pubblicitari che permettono all’inserzionista di richiedere all’utente diversi set di dati, in genere nome ed email, in seguito ad un click su un’inserzione pubblicitaria e poche altre interazioni.

3 step ben descritti da questa immagine.
Click su call to action dell’inserzione, click per inviare pochissimi dati, schermata di conferma.


Ovviamente, così come si può vedere dall’immagine sottostante, nella fase di creazione dell’inserzione, potrò chiedere molto di più all’utente, ma per comodità immaginiamo di chiedere solo di confermare e completare le informazioni che noi già abbiamo sull’utente, grazie a Facebook e senza che questo sia in nessun modo lo sfruttamento di una vulnerabilità, ma al contrario, un uso specifico della sua piattaforma di pianificazione pubblicitaria.

Mi spiego: tempo fa è “scoppiato” il bubbone di Cambridge Analytica, rea di aver collezionato dati di tantissimi utenti da Facebook grazie a diversi strumenti tra cui i famigerati quiz.
Di qui il mio ragionamento che vede nei Lead Ads un’arma ancora più affilata in mano ad un’eventuale Cambridge Analytica atto secondo, vediamo perchè.
In seguito a diversi test che ho portato avanti nel tempo, e secondo la policy di Facebook, un’applicazione, quale il classico quiz “che verdura sei” può operare su Facebook in due modi:

  • Richiedere all’utente, tramite una semplicissima richiesta di accesso tramite credenziali Facebook (comunemente detto Facebook Connect), di comunicare all’applicazione (e a chi c’è dietro) nome e cognome, email, foto profilo, link al profilo. Senza bisogno di alcun check a priori da parte di Facebook.
  • Richiedere all’utente un set di dati più ampio, come genere, città e quant’altro. A questo punto è necessaria una review da parte di Facebook, a priori.

Ora vediamo come i Lead Ads di Facebook, se usati in un certo modo, possono essere una fonte ancor più accurata di dati, anche se paradossalmente all’utente viene chiesto solamente di confermare nome ed email, in altrettanti campi prepopolati dei suddetti dati da Facebook stesso.

Come detto, accedendo ad un’app che opera sulla piattaforma Facebook, l’utente avrà sotto gli occhi in modo esplicito la qualità e quantità di dati che sta trasferendo, e dovrà fornire inoltre il suo consenso.
In sintesi, per sapere “che verdura sei” devi trasferire un set di dati, dal tuo profilo, al database dell’applicazione.
Il tutto avviene tramite, per semplificare, una finestra di dialogo come quella nell’immagine qui sotto.

I dati sono in gran parte, sotto gli occhi dell’utente, che fornisce il suo consenso, più o meno informato.
Definiamoli “a posteriori” per ora, capiremo il perchè di questa definizione analizzando come possono essere usati i Lead Ads per profilare ancor più efficacemente gli utenti che interagiscono con l’inserzione, a priori.

Primo assunto fondamentale, si tratta di advertising, quindi chi crea questo tipo di inserzione può utilizzare tutte le funzionalità di targeting presenti in Facebook, che possono scendere in un dettaglio estremo rispetto a demografiche, interessi e comportamenti (fuori e dentro Facebook) degli utenti nostro target.
Addirittura possiamo partire da un set di dati, quali una lista di email (elettori? iscritti ad un partito? candidati avversari? iscritti ad un’associazione?) e costruire da questa, un’audience quanto più possibile simile in termini di demografiche, interessi e comportamenti, si chiama Audience Lookalike (o pubblico simile), ma è uno step ulteriore, su cui torneremo in seguito.
Senza addentrarci troppo nel tecnico, è bene sapere che possiamo scendere in un dettaglio molto preciso andando ad utilizzare le funzionalità di targeting di Facebook, e qui c’è il nodo dei cosiddetti dati “a priori”.

Una volta creati i nostri target, secondo i dati di cui sopra, potremo andare online sulla piattaforma con uno o un set di diversi Lead Ads, ipertargetizzati.
Per un dettaglio superficiale ma efficace di quali siano le opzioni di targetizzazione di Facebook, vi rimando alle pagine ufficiali qui.
L’utente vedrà apparire il nostro Lead Ad, e se avremo lavorato bene, entrerà e confermerà i dati che Facebook ha già reso disponibili per un eventuale modifica o conferma.
Un semplice click, o tap se si è da mobile, e il gioco è fatto:

Mario Rossi, che vive stabilmente in determinate coordinate geografiche + raggio N km, sostenitore di una determinata area politica, interessato a retail banking, nautica e baseball, tornato da un viaggio una settimana fa, che sta per festeggiare l’anniversario di matrimonio, ha in mano un iPhone SE, che nel corso della settimana ha cliccato su una call to action “Acquista Ora” su un’inserzione, sposato, con figli, amministratore di pagine su Facebook, viaggiatore internazionale frequente, e quant’altro (molto altro…), confermerà tutto questo, più l’unico dato mancante nel mosaico: la sua email.

Senza che il nostro Mario abbia la più pallida idea, perchè non esplicitato in nessun modo accessibile comunemente, di come sia finito su quell’inserzione pubblicitaria, e soprattutto che il suo “Ok ti do (solo) la mia email, poco male” significhi implicitamente, confermare all’inserzionista quanto descritto poco sopra, in questa sommaria descrizione dei dati che possiamo impiegare per collezionare il suo contatto e chiudere il cerchio.

E ancora, dopo 100, 1000 o 10000 Mario, profilati ai massimi livelli, potremo andare in cerca dei successivi 10000 su altri network come LinkedIn, Twitter o Google, tramite le funzioni relative alle Audience Lookalike, oppure utilizzare direttamente il file dei contatti generati per targetizzare nuovamente i nostri Mario con messaggi di diversa natura.

Un’ipotesi: colleziono i tuoi dati con un trigger o una promessa X di varia natura, avendoti profilato come un target ben preciso, poi una volta ottenuti i tuoi contatti, torno a mostrarti inserzioni pubblicitarie a sfondo politico (seguendo magari le regole che conosciamo in merito su Facebook).

Dal punto di vista dell’utente, un conto è avere una schermata che (molto in piccolo) mostra i dati che io sto consegnando all’applicazione di turno, ne sono cosciente, accetto, manifesto un consenso informato.
Un altro conto è trovarsi di fronte un’inserzione pubblicitaria che di per sè appare perchè un set di dati molto più ampio di quelli che volontariamente trasmetterei ad un’applicazione, sono stati impiegati per raggiungermi, e che io sono chiamato a confermare credendo di trasferire solo nome ed indirizzo email.
Magari un’indirizzo email che uso solamente sui social, il che mi rende raggiungibile cross-piattaforma tramite remarketing.

So che all’interno dell’interfaccia dei Lead Ads è presente un link che riporta alla privacy policy, ma di certo non è presente alcun cenno alla quantità e qualità di dati che a priori hanno reso possibile la targetizzazione.
I dati “a posteriori” che io consegno ad un’app, sono in qualche modo esplicitati durante il processo, quelli “a priori” con cui io targetizzo l’advertising con cui raggiungere i miei Mario Rossi, non sono esplicitati all’interno dell’inserzione, ma sono sommariamente riportati, in modo molto sintetico, seguendo il procedimento riportato qui sotto.
Cosa che il più degli iscritti a Facebook, non sa fare.

Andando ad analizzare la policy (Condizioni delle inserzioni per acquisizione contatti) che ogni inserzionista dovrà accettare per poter utilizzare le unità pubblicitarie Lead Ads, scopriamo che:

L’inserzionista dovrà garantire che tutte le Inserzioni per acquisizione contatti forniscano le seguenti informazioni agli utenti di Facebook:

(i) tutte le informazioni necessarie e sufficienti ad adempiere alle leggi, alle normative e ai regolamenti applicabili, comprese eventuali condizioni delle offerte promosse nell’Inserzione per acquisizione contatti (ad es. criteri di idoneità, data di scadenza o limitazioni relative all’utilizzo) (“Condizioni delle offerte”);
(ii) una dichiarazione ben visibile e facilmente accessibile in cui viene comunicato che, se un utente invia dati tramite le Inserzioni per acquisizione contatti, tali dati saranno regolati dalla normativa sulla privacy dell’inserzionista;
(iii) un link alla normativa sulla privacy dell’inserzionista.

Nessun cenno alla presenza, ingombrante, di dati di targetizzazione molto precisi “a priori”, di cui l’inserzionista si serve per raggiungere l’utente e che implicitamente, il trasferimento di email e nome da parte di quest’ultimo, tende a confermare e completare.
L’ultima modifica a tale policy, risale al 4 febbraio 2016.

Potremmo dedurre che si tratti di elucubrazioni non attuabili, ma ricordiamoci pure il recente passato, in cui entità quali Cambridge Analytica hanno approfittato di zone grigie non del tutto vigilate e presidiate da Facebook, mentre qui parliamo di funzionalità ufficiali della piattaforma accessibili a chiunque ed il cui utilizzo è illustrato, nei dettagli, online.