Il fatto di lasciare i propri dati in giro dovrebbe spaventare ogni utente.

L'unica certezza che abbiamo è di non conoscere il valore futuro dei dati che lasciamo in giro. Ad oggi, la maggior parte degli utenti non ha dato troppo peso al valore dei dati, probabilmente perché non comprende il loro valore o come tali informazioni possano essere utilizzate per scopi molto diversi da quelli per i quali vengono acquisiti.

Prendiamo l'esempio di Alice, la quale decide di consentire a una applicazione di ricevere i suoi dati, per esempio la sua posizione e la sua lista amici. Roberto decide di fare lo stesso: ecco che l'applicazione è nella posizione di sapere le preferenze di Alice e Roberto (deducendole dai luoghi visitati) e se Alice e Roberto si incontrano per strada. Tuttavia l'applicazione svolge tutt'altra funzionalità (per esempio far incontrare due persone), quindi nessuno pensa al problema.

Quando 270.000 persone hanno preso parte a un sondaggio online, il professore universitario che lo ha creato ha potuto accedere e rivendere le informazioni di 50 milioni di utenti Facebook. Quando questi dati sono stati utilizzati dalla società Cambridge Analytica per migliorare il targeting della campagna elettorale di Donald Trump nel 2016, l'unica policy violata è stata quella secondo la quale la rivendita dei dati per fini di marketing non era consentita. 

Non a caso l'Economist ha paragonato i dati al petrolio, in quanto entrambi funzionano da "combustibile" per altre applicazioni (a mio parere l'analogia è corretta solo in parte, in quanto il petrolio è una commodity mentre i dati no; e anche perché il valore ottenuto dalla somma di barili di petrolio è lineare mentre il valore ottenuto dalla somma di data sets è esponenziale).

Il GDPR, le regolamentazioni circa il trasferimento di dati tra Stati, i recenti scandali come quello della vendita dei dati genetici, il passaggio di dati tra Zoom e Facebook, la recente vicenda Immuni-Privacy (peraltro non ancora risolta a distanza di settimane) evidenziano come la percezione e la consapevolezza stiano infatti cambiando: non sorprende infatti che quasi l'80% dei partecipanti in uno studio effettuato dalla 'fact tank' Pew si sia dichiarato "molto o piuttosto preoccupato circa il modo in cui le aziende utilizzano i dati raccolti". 

Tuttavia, tutte le applicazioni effettuano un lavoro perfetto nel mettere l'utente nella situazione di non poter scegliere tra l'utilizzo del servizio e la protezione dei dati: nel migliore dei casi, la protezione dei propri dati avviene sotto forma di un contratto che l'utente accetta tramite termini e condizioni lunghissime e indecifrabili. Anche volendo credere che le condizioni siano espresse nei migliori interessi dell'utente, il contratto è basato sulla fiducia che l'utente ripone nell'azienda.

Conquistare la fiducia dell'utente diventerà quindi un elemento indispensabile per le aziende che vogliono fare della relazione con il cliente un punto di forza.

Quanto discusso fin qui pone l'accento su due componenti: il controllo e la trasparenza come elementi per guadagnare la fiducia del proprio cliente. 

La privacy per garantire il controllo, la blockchain per garantire la trasparenza

Noi di Oasis Labs, una startup con sede a San Francisco e nata da un progetto di ricerca dell'Università di Berkeley, crediamo che sia presente un conflitto fra l'utilizzo delle applicazioni e il controllo dei propri dati.

Crediamo che l'utente debba rimanere proprietario dei dati anche nel caso in cui decidesse di condividerli con un'applicazione. Vogliamo mettere l'applicazione nella posizione di poter garantire matematicamente il corretto utilizzo di queste informazioni, e non tramite la richiesta di un voto di fiducia. Per questo abbiamo creato Parcel e Steward, due prodotti tramite i quali ogni applicazione potrà consentire ai propri utenti di vedere quali dati vengono salvati e come vengono utilizzati, fornendo così al singolo la possibilità di controllare e revocare l'accesso in ogni momento. 

La particolarità di questa tecnologia sta nel modo in cui i dati sono immagazzinati dal sistema: una volta che l'utente consente all'applicazione di utilizzare i propri dati, questi vengono salvati in dei 'Trusted Execution Environment (TEEs)', un'area protetta all'interno del server principale che garantisce che i calcoli vengano eseguiti solo al suo interno e mai rivelati all'esterno.

Il beneficio sta nel fatto di poter eseguire calcoli su dati che restano ignoti all'applicazione stessa. 

Spieghiamolo con un esempio

TiPresto è una nuova applicazione che permette agli utenti di richiedere un finanziamento direttamente dentro l'app, senza recarsi in banca o al negozio. TiPresto prevede l'erogazione di 5.000€ se l'utente ha avuto almeno 15.000€ nel conto in banca per i precedenti 6 mesi, non ha altri mutui attivi, è maggiorenne, e il suo guadagno mensile fisso supera le spese mensili. L'utente è invitato quindi a inviare una vasta gamma di documenti personali come estratti conto, documenti di identità, buste paghe, mutui precedentemente aperti. Sulla base di questi dati, TiPresto decide se erogare il prestito oppure no. 

Nel sistema tradizionale, questi documenti vengono analizzati dai server dell'applicazione (o da un dipendente di TiPresto), i quali semplicemente applicano il modello in cerca della risposta. A questo punto, TiPresto diventa in qualche modo possessore dei dati dell'utente, il quale deve fidarsi dell'azienda; tuttavia, TiPresto potrebbe subire attacchi da hacker, un dipendente potrebbe utilizzare i documenti per altri fini, oppure la società potrebbe essere venduta e con essa i suoi dati. L'utente deve quindi fronteggiare questo scomodo compromesso tra rinunciare al prestito o dare via i propri dati.

Il prodotto Parcel nasce proprio dall'idea che TiPresto non abbia bisogno di visualizzare quei dati. I documenti potrebbero infatti essere salvati in questo Trusted Execution Environment, precedentemente programmato secondo il modello stabilito da TiPresto: il modello verrebbe applicato ai dati dell'utente, rilasciando all'azienda soltanto la risposta 'APPROVATO' o 'NON APPROVATO'.

Finito il servizio, l'utente potrebbe accedere alla propria dashboard e revocare il permesso a TiPresto. Inoltre, l'utente potrebbe riutilizzare le informazioni immagazzinate nella propria 'cassaforte' anche da altre parti.

A completare il quadro si aggiunge la tecnologia blockchain, che ha principalmente due ruoli: verificare la correttezza del calcolo e garantire la trasparenza.

Dato che nessuno ha accesso ai dati o al calcolo, bisogna trovare un modo per verificare che il risultato ottenuto sia corretto e che comportamenti malevoli vengano bloccati: nell'esempio precedente, bisogna verificare che il modello venga eseguito correttamente e che attori malevoli non possano modificare il risultato.

Attraverso la distribuzione/decentralizzazione, il meccanismo di verifica è reso altamente chiaro e aperto, in modo che nessun malintenzionato possa nascondere le sue azioni illecite. In sostanza, un network di validatori indipendenti esegue lo stesso calcolo separatamente, sempre garantendo la confidenzialità dei dati e la corretta esecuzione del modello.

Per quanto riguarda la trasparenza, la blockchain permette di registrare sia il risultato che il richiedente del modello (TiPresto, nel nostro caso): questo lascia una traccia indelebile che potrà essere recuperata anche a distanza di anni e dopo modifiche come cessioni di azienda, cambio di management, ecc.

Uno sguardo al futuro

Risolvendo finalmente il compromesso tra la rinuncia ai servizi e la protezione dei propri dati, abbiamo visto come la blockchain e la privacy possano diventare elementi determinanti nel restaurare la fiducia degli utenti. A Oasis Labs, pensiamo che aziende e utenti possano essere finalmente messe nella condizione di poter lavorare insieme e creare valore per entrambi.