Almeno non ci è finita da sola. NebuAd, l’azienda californiana che – secondo quanto sostenuto da alcuni clienti scontenti – spiava senza autorizzazione le abitudini e i gusti dei netizen, sarebbe responsabile assieme agli ISP di una serie di reati che vanno dalla appropriazione indebita alla violazione della privacy. Abbastanza, in ogni caso, per farle chiudere per sempre i battenti o quantomeno mettere una pietra tombale sulla discussa pratica del behavioral advertising . Almeno negli USA, visto che in UK le cose vanno benone per Phorm .
Sono quindici i cittadini statunitensi che hanno presentato istanza di class action in un tribunale californiano, accusando NebuAd e alcuni suoi partner di media grandezza (tra cui spicca Cable One , ISP di proprietà del Washington Post ) di aver violato gli accordi firmati all’atto della stipula del contratto di fornitura della connessione. Il DPI ( deep packet inspection ) non rientrerebbe nel novero delle attività concesse al provider sul traffico in uscita e in entrata dai computer dei suoi clienti, e dunque l’intero concetto di sostituire la pubblicità generica con una perfettamente calibrata sui siti visitati dal navigatore sarebbe illegale.
Violazione della legge sulle frodi informatiche, violazione della legge sulla privacy, violazione dell’omologa norma californiana in materia di riservatezza e di crimini informatici: questi i reati ipotizzati a carico di NebuAd, assieme all’accusa di associazione a delinquere e – come detto – appropriazione indebita. Si tratta tuttavia per il momento, come ovvio, di semplici accuse , sulle quali dovrà pronunciarsi un giudice, anche per dichiararne l’eventuale ammissibilità.
Secondo gli attori, la condotta di NebuAd e dei suoi partner contravverrebbe ai compiti tradizionali di un provider: a quest’ultimo è senz’altro concesso di tenere d’occhio il flusso dei dati in transito da e per i propri clienti, ma solo per salvaguardarli rispetto alla posta spazzatura, ai virus e agli abusi . In nessun caso il DPI può configurarsi, secondo l’accusa, in uno dei servizi abituali di un ISP: che, anzi, scegliendo di adottare questa tecnologia punta direttamente ad acquisire dati di cui non dovrebbe entrare in possesso.
Sotto accusa sia il meccanismo di opt-out , vale a dire di silenzio assenso, rispetto al programma di behavioral advertising (sperimentale e conclusosi ormai da mesi), sia il processo di anonimizzazione dei dati, ritenuto insufficiente a garantire reale privacy ai navigatori. Secondo quanto sostenuto nel documento presentato, la legge dovrebbe prescrivere l’adesione volontaria al programma, e dunque l’ opt-in , e la necessità di indirizzare pubblicità specifiche rispetto alla cronologia del singolo utente renderebbe di fatto vana qualsiasi pretesa di anonimato finendo per sconfinare piuttosto nella più comune profilazione .
A NebuAd, e alle altre aziende coinvolte, spetterà ora naturalmente la prossima mossa: difficile prospettare quale sarà la strategia difensiva, se faranno quadrato o tenteranno dei distinguo. Di certo questa notizia potrebbe segnare la fine definitiva dei propositi di advertising mirato di NebuAd, che già da qualche mese aveva comunque preannunciato un cambio di direzione nello sviluppo della propria offerta, perdendosi anche per strada un CEO e alcuni dipendenti.
Luca Annunziata