Pillole abortive via email. Trasecolo!

Non pensavo che avrei mai visto una cosa del genere. Confesso di aver evocato divinità dimenticate e offeso quelle più blasonate.

Anche se è festa, di questo devo proprio parlare, per forza, dunque eccomi qui, a pigiare tasti con foga crescente, mentre mi addentro in uno dei peggiori e più divisivi tabù: la distribuzione di pillole abortive a chi ne abbia bisogno.

Una bella idea, ma realizzata talmente male da generare molti più guai di quanti ne risolva. Anzi, la definirei una catastrofe che attende solo di accadere.

Non intendo alambiccarmi nei meandri dell'etica e della morale connesse alla "pillola del giorno dopo" (quella utilizzabile entro 5 giorni dal rapporto) o alla "pillola abortiva" (quella utilizzabile entro 9 settimane dal concepimento), voglio solo parlare di data protection, pertanto non affronterò ogni altra considerazione che, per come la vedo io, non mi compete affatto. Chi considera questo tema scandaloso, ha tutta la mia invidia per il privilegio che la vita gli ha riservato. Personalmente, non posso e non voglio occuparmi di qualcosa di cui non conosco nulla. Non avendo un utero, mi sentieri molto stupido a discettarne. Punto.

Ma di privacy ne parlo, eccome, anche a beneficio di chi, una volta fatte le proprie insindacabili valutazioni, desideri beneficiare dell'iniziativa messa in piedi da Women on Waves, o di altre simili.

Gironzolando per l'isola di Malta (e Gozo), ci si può imbattere nei classici locker mobili (Key Lock Box), solitamente usati per consegnare ai villeggianti le chiavi degli appartamenti turistici e, con un guizzo di creatività inaspettata, impiegati anche per spacciare droga nelle città. Oggi Women on Waves ne ha fatto un uso inedito: distribuire la pillola abortiva a chi ne faccia richiesta.

La procedura è semplicissima:

"Scrivici una email a info@womenonwaves.org"

In risposta si ottiene, sempre via email, l'indirizzo ove trovare il locker e la combinazione per aprirlo. Tutto fatto, in perfetto anonimato... hem... o quasi.

Cosa potrebbe mai andare storto?

Domanda... ma siete scemi? Via EMAIL? Ma veramente?

Chiedo... non hanno un DPO? No, direi proprio di no, ma non hanno nemmeno un amico che ne capisca qualcosa di computer o un cugino lontano, che viva nel mondo reale, che possa mettere in guardia sulla immane stupidaggine che stanno facendo: questa iniziativa sembra fatta apposta per creare una lista, un database di persone che hanno fatto ricorso a terapie abortive fuori dai circuiti medici ufficiali.

L'idea della ong coincide perfettamente con il sogno bagnato di qualsiasi governo, che sia conservatore, autoritario, che sia un governatore destrorso d'assalto o un despota sinistroide, c'è solo l'imbarazzo della scelta. I casi si sono moltiplicati negli ultimi mesi sia negli USA che molto molto vicino a noi.

Viviamo in un mondo in cui i governi (direi gli organi di potere in generale) non si fanno problemi ad utilizzare tutti i dati a cui hanno accesso, le rotte sulle app di navigazione, le ricerche sul web, la geolocalizzazione del cellulare vicino a determinati indirizzi (quelli delle cliniche specializzate), i contributi postati sui social, ogni altra traccia digitale che permetta di desumere la frequentazione di un determinato medico, una certa struttura, un luogo dedicato alle cure o ai trattamenti in questione. 

Non serve spulciare i fascicoli sanitari elettronici... quelli sono un disastro e non funzionano, ma le tracce che lasciamo in modo inconsapevole sì, quelle funzionano benissimo.

L'unico modo per proteggere le persone dagli usi deteriori delle tracce online che lasciamo è non generare dati che non servano.

Mi chiedo come possa essere venuto in mente ad un'associazione che intenda aiutare le donne di chiedere loro di mandare una e-mail per accedere a uno dei trattamenti più problematici che esistano.

Le email hanno un problema ontologico, by design: non sono progettate per garantire riservatezza, anche quando il contenuto è cifrato in transito, restano completamente accessibili ai provider e, come se non bastasse, mentre passano su sistemi altrui, restano accessibili a tanta gente una miniera di metadati (IP, mittente, destinatario, orario, oggetto) facilmente correlabili.

Basta poco per catturare il traffico delle email dirette a quella sciagurata mailbox di Women on Waves, alla quale in tante scriveranno serenamente per avere il farmaco. Ci vuole ancora meno ad accedere ai dispositivi e agli archivi dell'associazione che, nonostante le intenzioni, non potrà opporsi ad un ordine giudiziario. 

Se siamo a questo infimo livello di consapevolezza informatica, mi immagino che l'associazione sia molto serena, pensando che possa bastare cancellare le email per risolvere il problema.

Purtroppo non è così. In internet, nulla si cancella. Mai. Anzi, se cancelli qualcosa, l'unico che non ce l'ha più sei proprio tu. Gli altri non sono coinvolti dalla tua azione e continuano a poter disporre di ciò che pensavi di aver cancellato. Bel risultato.

"Tutti chi?" 

... grazie per avermelo chiesto.

C'è solo l'imbarazzo della scelta e voglio tenermi sul semplice, senza pensare a porcherie assortite o dispositivi infettati da schifezze:

• i provider internet del mittente e del destinatario
• la compagnia telefonica, se viene usato un cellulare
• i provider dei servizi di posta elettronica che, a meno di una botta di culo, saranno due
• ogni intermediario del traffico web dal dispositivo del mittente al computer del destinatario (vede i metadati)
• ogni agenzia governativa in grado di accedere ai dati di traffico (e sono proprio tante) con capacità di intercettazione legale o intelligence

Questi sono i soggetti tecnicamente in grado di accedere ai dati. Ma chi può averne realmente interesse? 

• Autorità giudiziarie
• Governi esteri
• Gruppi ostili
• Attori opportunistici (data breach)

Le due liste quasi coincidono e questo è il vero problema: "vuolsi così colà dove si puote ciò che si vuole, e più non dimandare."

"Ma io non interesso a nessuno, mica sono Taylor Swift"

... grazie per posto la questione.

Vero, non c'è nessuno che stia guardando quello che fai, oggi. I tuoi dati si mischieranno a quelli di milioni di altre persone, vero. La nostra stessa irrilevanza ci da una forte sensazione di protezione e anonimato e ci spinge a comportamenti liberi e spensierati, verissimo. Ma questa è solo un illusione e peggiora la situazione.

Quelle informa sono li, rimarranno accessibili per sempre.  Non ci sarà nessuno che verrà a cercare proprio te, come individuo, ma ci saranno persone che cercheranno una lista e tu sarai in quella lista: "Hei, siri, trova tutte le persone che hanno scritto a info@womenonwaves.org nel maggio 2026, se usano pseudonimi, trova il nome reale incrociando i dati e frugando in archivio"... beh, non si usa Siri, ma il concetto è quello. Per chi ne ha i mezzi, bastano quattro click. La mera disponibilità di quelle informazioni, anche se sperdute in un immenso mare di dati, sarà una tentazione irresistibile per il loro uso deteriore, a prescindere dalle ragioni per le quali i dati sono stati generati.

Vuoi saperne di più? Cerca su google o sulla tua AI preferita l'eterogenesi dei fini, applicata alla protezione dei dati personali, ti divertirai.

Se poi vorrai approfondire, c'è chi lo ha spiegato questi concetti veramente bene:

• Shoshana Zuboff (Capitalismo di Sorveglianza) e L'estrazione del "Surplus Comportamentale"

• Rodotà e la Privacy come Dignità - La dittatura dell'algoritmo e il "Corpo Elettronico"

• Helen Nissenbaum: La Violazione dell'Integrità Contestuale

• Daniel Solove: L'"Uso Secondario" e la Tassonomia della Privacy

• Roger Clarke: La "Dataveillance" (Sorveglianza dei dati)

• Cathy O'Neil e le "Armi di distruzione matematica"

• Hannah Arendt e la critica alle dichiarazioni di Eric Schmidt (Google) relative al "Vangelo della Trasparenza Radicale"

• Samuel Warren e Louis Brandeis  "The Right to Privacy" (1890!)

Quindi, no, non sono affatto fisime da vestali della privacy.

L'immensa mole di informazioni che lasciamo dietro di noi, trattate da cotanti galantuomini, rappresenta un concreto rischio sia oggi che nel futuro, qualunque esso sia. I dati immediatamente disponibili permettono una identificazione diretta ed immediata (email, IP, device), ma anche quando non sono completamente espliciti consentono una correlazione solida (accesso al servizio + posizione + tempistiche).

Quella lista sarà lì anche domani, le sue copie, i backup, i log ne estenderanno la visibilità e la permanenza oltre i confini che ci sembrano ragionevoli, quei dati saranno lì per sempre, anche quando si insedierà un nuovo governo con tendenze repressive e desideri punitivi retroattivi. Si sa, alcune persone sono vendicative.

Per me è una tragedia, uno scempio commesso sulla pelle di chi ha già i suoi problemi da gestire. Offrire un servizio vitale in modo tecnologicamente sciatto espone molte donne a commettere un errore fatale, ad esporsi ad un rischio che non hanno gli strumenti per valutare, che non potranno mitigare e pagheranno per molto tempo.

Un massacro.

Come DPO mi sento morire dentro osservando come questa iniziativa  porti ad accumulare montagne di dati particolari, i dati sensibili, per i quali vige un regime di protezione rafforzato.

Qui manca tutto:

• base giuridica forte (art. 6)
• esimente dal divieto (art. 9)
• misure tecniche e organizzative adeguate (art. 32)
• data protection by design (art. 25)

Non è in gioco solo la sicurezza informatica, ma l'intera conformità a principi fondamentali di protezione dei dati che garantiscono il diritto alla riservatezza delle persone, peraltro in contesti ad altissimo rischio.

Iniziative di questo genere devono essere condotte con standard estremamente elevati, utilizzando tecnologie capaci di proteggere i dati, di farli transitare in modo sicuro, neutralizzando ogni possibilità di intercettazione, di accumulo e pensando all'intero perimetro delle vulnerabilità.

Esistono sistemi fatti apposta: secure drop, onion services (Tor), token anonimi one-shot, ecc. Solitamente si utilizzano piattaforme specifiche, simili a quelle in uso per il whistleblowing oppure a quelle utilizzate da alcune redazioni per ricevere contributi da fonti anonime (e proteggerle). Ce ne sono di fantastiche, a costo zero, quindi non è una questione di budget.

Nell'iniziativa di Women on Waves non c'è nulla di tutto questo. Fare le cose per bene non è facile, ma la fatica (o il costo), così come le buone intenzioni, non possono diventare un alibi per fare le cose a ca##o di cane.

Prosit.

Dopo aver letto il mio pezzo, Signorina37 (aka Claudia Galingani Mongini) ha scritto una lunga serie di post su canali social. Belli, anzi, bellissimi.
Le ho chiesto di poterli aggiungere all'articolo ed eccoli qui.
Praticamente, un nuovo articolo a quattro mani.

Faccio il mio lavoro, quindi prendete questo thread come un'analisi forense/educativa, nessun giudizio morale, solo threat modeling (che al solito qualcuno bollerà come sbagliato, ma non ha un utero quindi può ficcarsi le sue considerazioni su per il ciapet).
Zero fuck given agli eventuali flame.
OSINT/SOCMINT Attack Surface Analysis // The Malta Case 
Tu mandi una mail, anonima quanto ti pare, loro ti rispondono con le coordinate di un locker per ritirare la pillola.
"Ma che gliene frega di sapere chi sono? Mica faccio niente di male! Ed è un mio diritto, l'anonimato."
Beata idiozia!
Tutti i dati sono importanti, quelli sanitari hanno un peso specifico doppio della gravità terricola (cit OK Quack).
Sapere che sei donna, fertile, europea o americana, è oro puro.
Solo dall'atto della richiesta, senza aprire la mail, si possono ricavare dati per un profilo demografico inferibile.
Cominciamo a vederne qualcuno, partendo dal fatto che sapere che hai richiesto la pillola abortiva è un indicatore chiaro di attività sessuale attiva.

Sesso biologico femminile: probabilità altissima, quasi certa

- età fertile 15-50: probabilità alta
- età probabile 16-35: probabilità alta, pattern statistico
- capacità riproduttiva attiva: probabilità alta, pattern implicito
- residenza o presenza a Malta o paesi limitrofi: probabilità alta, IP + logistica locker
- non seguita da ginecologo di fiducia: probabilità media, bypass consulto medico
- relazione clandestina o non dichiarabile: partner sposato, relazione non approvata dalla famiglia, contesto culturale/religioso oppressivo
- minore età: se l'IP indica una scuola, a una rete domestica con genitori identificabili
- non ha supporto di una rete sociale: non ha un'amica, non ha una sorella, non ha una madre a cui rivolgersi - o non conosce sportelli e consultori che potebbero autarla
- teme il giudizio medico: pregresso con personale sanitario, contesto geografico piccolo (paese, comunità chiusa)
- situazione economica: non ha accesso a cliniche private, non può viaggiare e non può pagare consulenze
- non usa contraccettivi regolari: non ne ha accesso, non ne ha educazione, non ha un partner collaborativo
- urgenza temporale: il timing della mail rispetto al ciclo inferisce la settimana di gestazione (se i dati vengono correlati con ricerche precedenti)

Se dalla mail si raccoglie il nome (la firma, basta il nome di battesimo o un nickname molto poco comune, anche l'indirizzo stesso nickname.1980@) e si utilizza la mail di invio, bastano 20 minuti per stilare un grafo relazionale usando la SOCial Media INTelligence.

- LinkedIn: età reale, datore di lavoro, città
- Facebook/Instagram (ecosistema META): stato relazionale dichiarato, foto, check-in, amici, famiglia
- registro elettorale Malta (è pubblico): indirizzo di residenza
- Google dorking sull'email: forum, registrazioni, commenti vecchi
- HaveIBeenPwned/breach database: password leak, altri account associati, numero di telefono
- numero di telefono: profile picture e stati su WhatsApp,
- account Instagram "pubblico": famiglia identificata
- reverse image su foto profilo: account multipli, identità cross-platform

Ancora sui locker, che tutti sottovalutano.

- i locker (tipo Amazon Locker, InPost, ) hanno CCTV (Closed Circuit TV aka circuito di sorveglianza)
- timestamp di ritiro: la presenza fisica è documentata
- se il locker è in zona commerciale: altre cam, ANPR se arrivi in auto (identificazione targa)
- il pacco ha un tracking number: catena logistica documentata
- ritiro con app: smartphone associato con Apple ID o Google account e tutto il resto

Ora, veniamo alla profilazione, perchè tutti quei bei dati evinti e raccolti, hanno un motivo.

Hai rapporti non protetti: servono contraccettivi, magari maschili, che ne dici dei Durex? Magari la spirale, e pure una crema per la candidosi o uno spermicida, dai, metti pure lavande intime al lampone!

Sei fertile: sei sana, senza malattie genetiche diagnosticate*, forse se sei in là con l'età e hai avuto una relazione clandestina, ti interessa comunque un kit di cancellazione delle tracce sul telefonino? Guide di Aranzulla su come eliminare le chat di Tinder o Gleeden?

*e se le hai.. bingo!

Vivi in una zona economicamente medio-benestante: magari sei poverissima, ma non avresti un telefonino ultimo modello dal quale mandare l'email -ah, i metadati, signora mia!- o magari sei ricchissima e arrivi al locker con una fiammante spider, ti serve antifurto per la macchina? Per la casa? Ronde?

Non puoi rivolgerti al medico o ad un consultorio: se lo facessi ci sarebbe una storia clinica, magari hai subito un abuso? Vediamo la tua storia familiare. O magari ti serve la nuova app DoctorPrivate, scaricala subito e collegala al tuo tracker per il ciclo - e con i consorsi in-app, vinci sempre!

Serve anche un pochino di contesto sociale: Malta ha leggi tra le più restrittive in EU sull'aborto, quindi la richiesta pubblica stessa potrebbe essere reato.

Se l'associazione viene compromessa (data breach, ransomware, ..) e vengono esfiltrati dei dati, tra cui una bella lista di clienti, insieme a nome+telefono+email+informazioni, questi se ne vanno in giro per il dark.

Non solo, la notifica del breach al Garante deve essere fatta e se qualcuno va a sbirciare la lista...

In caso di cross-border legal request (me la sono fatta recapitare al locker di Malta ma sono tedesca) il paese di residenza della richiedente viene coinvolto - con tutto quello che ne consegue.

E l'assicurazione sanitaria, che viene correlata con altri dati sanitari, può impattare su polizze in corso. Dando il via ad un'escalation che potrebbe sfociare anche nel licenziamento.

Questa parte saltatela se siete negaioli dei threat model.

Chi: partner abusivo
Perché: controllo, ritorsione

Chi: famiglia in contesto culturale oppressivo
Perché: "onore", controllo

Chi: datore di lavoro (contesti conservatori)
Perché: discriminazione

Chi: stato/governo (in paesi con leggi restrittive)
Perché: perseguimento legale

Chi: broker di dati
Perché: profiling, vendita a inserzionisti sanitari

Chi: estorsori
Perché: blackmail

Chi: movimenti anti-choice
Perché: doxxing, harassment

Una mail mandata alle 2:17 di notte, da un iPhone, su rete Vodafone, con un indirizzo che ha il tuo nome e cognome, a un'associazione che opera in un paese dove quello che chiedi è illegale, NON è una comunicazione privata.

È, in tutto e per tutto, un documento forense che aspetta solo di essere trovato!

L'educazione digitale non è un optional, non è "non ho nulla da nascondere", non è "ma figurati che vogliono da me", è sapere che il tuo UTERO vale PER la tua vita, COME la tua vita. 
È sopravvivenza - e, in quanto donne, partiamo un attimo svantaggiate. Ma non resteremo indietro.

Su questo blog ci sono altri 198 articoli.
Esplora, cerca, curiosa in giro...

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.

Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.

Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è sì... allora una birra virtuale è d'obbligo!