I data broker e le informazioni personali di suo figlio adolescente
I data broker raccolgono e vendono silenziosamente le informazioni personali di suo figlio adolescente. Una guida pacata e pratica su come accade, perché gli adolescenti sono esposti e come fare opt-out.
Che cos'è un data broker

Un data broker è un'azienda che raccoglie informazioni personali sulle persone da molte fonti e le vende — di norma a operatori di marketing, ad altre imprese o a chiunque paghi — senza avere alcun rapporto diretto con le persone i cui dati detiene. L'autorità per la privacy della California ne dà questa definizione: un'impresa che raccoglie e vende consapevolmente le informazioni personali di un consumatore con cui non ha alcun rapporto diretto. L'organizzazione non profit per la privacy EPIC lo dice in modo più netto: aziende che raccolgono, aggregano, impacchettano e vendono enormi volumi di dati personali, spesso senza che i consumatori sappiano della loro esistenza.
Quest'ultimo aspetto è il punto centrale per un genitore. Suo figlio non ha mai firmato un contratto, non ha mai cliccato «accetto» e nella maggior parte dei casi non sa nemmeno che l'azienda esista. Il broker si limita a raccogliere frammenti già disponibili in giro e ad assemblarli in un unico dossier che può vendere.
L'attività si svolge in tre mosse: raccogliere, aggregare, vendere. I broker attingono dai registri pubblici (documenti giudiziari, atti di proprietà, liste elettorali), da flussi di dati commerciali (programmi fedeltà, acquisti, cartoline di garanzia) e dall'attività online, poi uniscono il tutto in un profilo e ne vendono l'accesso. La portata è difficile da immaginare. Il rapporto del 2014 della Federal Trade Commission, un punto di riferimento sul settore, ha rilevato che i broker raccolgono e conservano miliardi di elementi di dati che riguardano quasi ogni consumatore statunitense con una trasparenza minima — un broker deteneva oltre 700 miliardi di elementi di dati aggregati, e un altro manteneva più di 3.000 «segmenti di dati» per quasi ogni americano. Quelle cifre specifiche hanno ormai un decennio, ma il settore è solo cresciuto, e restano il quadro più chiaro che le autorità abbiano pubblicato su quanto siano approfonditi i profili.
Come vengono venduti i dati di suo figlio

I dati di suo figlio raggiungono i broker attraverso attività ordinarie e quotidiane — app, scuole, registri pubblici e violazioni dei dati — non perché abbia fatto qualcosa di sbagliato. E, a differenza di un bambino più piccolo, un adolescente non ha quasi alcuno scudo legale a fare da barriera.
È un fatto su cui vale la pena soffermarsi. La legge federale sulla privacy dei minori, il Children's Online Privacy Protection Act (COPPA), limita soprattutto il modo in cui i servizi online raccolgono dati dai bambini sotto i 13 anni. Non esiste una norma federale sulla privacy analoga che copra i ragazzi tra i 13 e i 17 anni, quindi un adolescente è molto più esposto di un bambino più piccolo. Il rapporto del personale della FTC del 2024 A Look Behind the Screens ha analizzato nove grandi piattaforme e ha rilevato che spesso trattavano gli adolescenti esattamente come gli utenti adulti, raccoglievano enormi quantità di dati e potevano conservarli a tempo indeterminato — inclusi dati acquistati dai broker.
- Le app e il loro codice nascostoMolte app integrano kit pubblicitari (SDK) che inviano silenziosamente dati di posizione e del dispositivo a terze parti. In un caso della FTC, il broker X-Mode raccoglieva la posizione precisa direttamente dalle app che eseguivano il suo codice — per poi rivenderla.
- Le aste pubblicitarieOgni volta che un'app carica un annuncio, una «richiesta di offerta» può diffondere i dettagli del dispositivo — e spesso la posizione — a molte aziende contemporaneamente. I broker raccolgono quelle trasmissioni anche quando non mostrano mai un annuncio.
- Le «informazioni di elenco» scolasticheIn base alle norme sulla privacy scolastica, le scuole possono rilasciare i dati di base degli studenti — nomi, date di nascita, foto, a volte indirizzi — come «informazioni di elenco», salvo che un genitore faccia opt-out.
- I registri pubbliciAtti di proprietà, documenti giudiziari e liste elettorali vengono acquistati all'ingrosso e integrati. Un record familiare collega un adolescente a un indirizzo e ai suoi parenti.
- Le violazioni dei datiQuando un'azienda subisce una violazione, i dati si riversano in circolazione. La violazione di Gravy Analytics del gennaio 2025 ha esposto tracce di posizione raccolte da circa 12.000 app, comprese alcune molto diffuse tra gli adolescenti.
- Profili social copiati (scraping)Post pubblici, nomi utente e foto vengono copiati e abbinati al resto: è così che un nickname usa e getta viene ricondotto a un adolescente reale, con nome e cognome.
Questo non è ipotetico proprio per i giovani. Dopo che la California ha iniziato a obbligare i broker a registrarsi e a dichiarare cosa vendono, una ventina circa hanno ammesso di raccogliere dati sui minori, e decine di altri vendono la posizione precisa. Ricercatori della Duke University hanno documentato broker che pubblicizzavano apertamente pacchetti di dati su studenti e adolescenti — con nomi importanti tra cui Equifax, Experian e TransUnion che nel registro del Vermont dichiarano di raccogliere dati sui minori.
Cosa contiene un profilo di un broker

Il profilo di un broker è un dossier — molto più di un nome e un'email. Mette insieme, strato su strato, ciò che è fattuale, ciò che è storico e ciò che è ipotizzato, finché un estraneo può arrivare a sapere di suo figlio, in cinque minuti, più di quanto sappia la maggior parte dei suoi insegnanti.
L'elenco dettagliato stilato da EPIC di ciò che un profilo di ricerca di persone può contenere dà un'idea dell'ampiezza:
- Identità e contatti: nome completo, pseudonimi e nomi precedenti, data di nascita, indirizzi di casa attuali e passati, numeri di telefono e indirizzi email.
- Vita e documenti: istruzione, occupazione, registri immobiliari e dettagli tratti da atti di matrimonio, divorzio, fallimento e documenti giudiziari.
- Relazioni: parenti, conoscenti e collegamenti ad account sui social media — le connessioni che legano un nickname anonimo a una famiglia reale.
- Caratteristiche dedotte: oltre ai fatti, i broker tirano a indovinare. La FTC ha rilevato che suddividono le persone in segmenti con punteggi e deducono attributi sensibili — interessi, fascia di reddito e altro — dai modelli presenti nei dati.
Due cose peggiorano la situazione rispetto a come suona. Primo, i profili possono semplicemente essere sbagliati. In un caso arrivato fino alla Corte Suprema degli Stati Uniti, Spokeo, Inc. v. Robins, un uomo scoprì che il profilo del sito su di lui affermava falsamente che aveva una laurea magistrale, era un professionista sposato e benestante — quando in realtà era disoccupato. Un profilo ipotizzato di un adolescente può essere altrettanto inesatto, e altrettanto pubblico. Secondo, lo stesso record di base è distribuito su molti siti; uno studio del 2024 sottoposto a revisione paritaria ha rilevato che una manciata di aziende sta dietro alla maggior parte dei siti di ricerca di persone più noti.
Aiuta rendere tutto questo concreto. Immagini un ragazzo di 16 anni che riutilizza ovunque lo stesso nickname da gioco, cita la propria scuola superiore in una biografia e compare in un post pubblico di un genitore che festeggia il trasloco in una nuova casa. Preso singolarmente, nulla di tutto ciò sembra pericoloso. Ma un sito di ricerca di persone elenca già l'indirizzo della famiglia, ricavato dai registri immobiliari — così un broker (o chiunque lo consulti) può cucire insieme il nickname alla scuola, la scuola alla città e la città all'esatta porta di casa. Suo figlio non ha mai fornito a un singolo sito il quadro completo; il profilo viene assemblato a partire da lui, pezzo per pezzo.
I rischi reali

Il rischio non è che un profilo esista — è ciò che un profilo esposto rende possibile: furti d'identità, doxxing e truffe che sembrano personali perché sono costruite su dettagli reali. Qui vale la pena essere precisi, perché il quadro onesto è meno spaventoso di quanto suggerisca il marketing che vi ruota attorno, e più utile.
Furto d'identità. Il numero di previdenza sociale (Social Security number) di un minore è una lavagna pulita, senza storia creditizia, il che lo rende prezioso e fa sì che l'uso improprio passi inosservato per anni. La frode d'identità ai danni dei minori è reale e consistente: uno studio Javelin del 2022 ha stimato che 915.000 bambini statunitensi sono stati vittime di frode d'identità in un solo anno, e che 1,7 milioni hanno avuto dati esposti in una violazione. Ma ecco l'avvertenza che chi vende paura tralascia: la principale fonte di furto d'identità ai danni dei minori non sono i broker anonimi — sono persone che il bambino conosce, spesso un parente. I broker e le violazioni sono il vettore dell'estraneo; li tratti come una delle esposizioni da gestire, non come l'intera storia.
Doxxing e stalking. È qui che i dati dei broker fanno il danno più diretto. Una scheda di ricerca di persone consegna esattamente ciò che serve a qualcuno per trovare una persona nel mondo fisico — nomi, indirizzi attuali e passati, numeri di telefono e account collegati. La rete contro la violenza NNEDV descrive questi siti come uno strumento standard per localizzare le persone, e rimuovere un record è una delle poche cose che possono impedire a un estraneo di venirne a conoscenza. Se suo figlio dovesse mai essere preso di mira, la nostra guida sul doxxing e su come proteggere suo figlio illustra la risposta passo dopo passo.
Truffe su misura. I dettagli reali rendono un messaggio di phishing o un finto SMS del tipo «hai vinto» molto più convincenti. Un truffatore che conosce già il nome, la città e la scuola di un adolescente non deve tirare a indovinare — è il tocco personale a far cliccare anche un adolescente guardingo.
Fare opt-out: una guida realistica

Per fare opt-out, si affrontano i siti più grandi uno alla volta, si usano gli strumenti di rimozione dei motori di ricerca e — se ci si trova in California — si invia un'unica richiesta di cancellazione a tutti i broker registrati in una sola volta. Non riuscirà a eliminare tutto, ma può far togliere le schede più sensibili e più consultate, che è dove si concentra la maggior parte del rischio reale.
Cominci dai maggiori siti di ricerca di persone. Ciascuno ha la propria pagina di opt-out, ciascuno di solito richiede di individuare la scheda specifica e di confermare via email, e ciascuno può contenere più di un record — quindi è un compito da svolgere con calma in un pomeriggio, idealmente insieme a suo figlio, così che impari l'abitudine:
- Spokeo — trovi la sua scheda, poi ne invii l'URL su spokeo.com/optout e confermi via email.
- Whitepages — usi whitepages.com/suppression-requests; aggiunge un passaggio di verifica telefonica.
- BeenVerified, Intelius e Radaris — ciascuno gestisce il proprio opt-out: BeenVerified, Intelius (tramite il centro di soppressione di PeopleConnect) e Radaris (gratuito e self-service).
- Acxiom — un broker di marketing senza un profilo pubblico da consultare; faccia opt-out su acxiom.com/optout.
Queste pagine di opt-out e i loro passaggi di verifica cambiano spesso, quindi segua le istruzioni sulla pagina di opt-out attiva di ciascun sito anziché un link salvato. Poi, usi Google. Il suo strumento Risultati che ti riguardano segnala i risultati di ricerca che espongono un indirizzo di casa, un telefono o un'email e le consente di richiederne la rimozione — anche se va notato che al momento è riservato agli adulti dai 18 anni in su, quindi per un adolescente più giovane un genitore usa invece i moduli di richiesta di rimozione standard di Google. Google gestisce anche una procedura dedicata per rimuovere le immagini di chiunque abbia meno di 18 anni dai risultati per immagini, e un genitore o tutore può presentarla per conto del minore. Rimuovere un risultato di ricerca non cancella la fonte, ma rende il dettaglio molto più difficile da trovare per caso.
Se vive in California, c'è ora una scorciatoia che vale la pena usare. Il DROP (Delete Request and Opt-out Platform) dello Stato, creato in base al Delete Act, consente a un residente di inviare un'unica richiesta che ordina a ogni data broker registrato — oltre 600 — di cancellare i suoi dati. Aspetto cruciale per le famiglie, l'agenzia statale conferma che un genitore può inviare una richiesta per conto di un figlio. I consumatori possono inviare le richieste a partire da gennaio 2026, e i broker devono iniziare a rispettarle entro agosto 2026 e ricontrollare la piattaforma almeno ogni 45 giorni. Copre solo i residenti in California e i broker registrati in California, e non cancellerà i registri pubblici sottostanti — ma sostituisce centinaia di opt-out separati con uno solo.
Infine, due parole sui servizi di rimozione a pagamento, perché i genitori lo chiedono. Aiutano, ma meno di quanto lascino intendere le pubblicità. Uno studio di Consumer Reports del 2024 ha rilevato che i servizi rimuovevano solo circa il 35% delle schede di una persona dopo quattro mesi — e che fare l'opt-out a mano funzionava all'incirca nel 70% dei casi, battendo ogni servizio a pagamento testato (Optery ed EasyOptOuts sono risultati i migliori). Scelga con cura: un'inchiesta ha rivelato che un servizio, Onerep, condivideva la proprietà con un broker di ricerca di persone attivo. L'app gratuita Permission Slip di Consumer Reports è una via di mezzo poco impegnativa che invia richieste di cessazione della vendita per conto suo.
Perché la rimozione è come rincorrere le talpe

La rimozione è come rincorrere le talpe perché i broker ricostruiscono continuamente i loro database dalle stesse fonti pubbliche che non si possono cancellare — quindi un record che oggi lei fa togliere può riapparire silenziosamente mesi dopo. Saperlo in anticipo è ciò che evita che fare opt-out sembri un fallimento.
La FTC è franca al riguardo: fare opt-out non cancella i registri pubblici sottostanti, quindi se quei registri cambiano le sue informazioni possono rimettersi in vendita, e possono comunque riemergere attraverso le schede di parenti e vicini. Molte leggi sulla privacy prevedono inoltre un'eccezione per le «informazioni disponibili pubblicamente», il che significa che i dati tratti da documenti pubblici spesso restano liberamente utilizzabili anche dove esistono diritti di cancellazione. E il numero puro e semplice di broker — un'analisi dell'aprile 2025 ne ha contati circa 750 nei registri statali, e sono solo quelli che si sono registrati — significa che nessuna famiglia può ripulirli tutti a mano.
Si può addirittura vedere questo presupposto inscritto nella legge. Il DROP della California obbliga i broker a ricontrollare la piattaforma di cancellazione almeno ogni 45 giorni — una regola che ha senso solo perché tutti i soggetti coinvolti sanno che i dati continuano a tornare. Quindi ridimensioni l'aspettativa: fare opt-out non è una cancellazione una tantum, è una manutenzione periodica, più o meno due volte l'anno. Ecco perché la protezione più duratura non è affatto la rimozione — è assicurarsi che se ne raccolga di meno fin dall'inizio.
Igiene dei dati a lungo termine

Il risultato duraturo è ridurre al minimo ciò che viene raccolto — una manciata di abitudini che riducono silenziosamente l'impronta di suo figlio alla fonte, così che qualsiasi broker abbia meno da raccogliere, unire e vendere. Le adotti insieme a suo figlio, non contro di lui; l'obiettivo è un ragazzo che capisce il perché, non uno che si sente sorvegliato.
- Blocchi il credito di suo figlio. Dal 2018, la legge federale consente a un genitore di attivare un blocco gratuito del credito per un minore sotto i 16 anni presso tutte e tre le agenzie di credito (un ragazzo di 16 o 17 anni di solito deve attivarlo da sé — verifichi la procedura di ciascuna agenzia). È il singolo passo più efficace contro il furto d'identità su quel Social Security number a lavagna pulita, e resta attivo finché non lo si rimuove.
- Blocchi i permessi delle app — soprattutto la posizione. Le app sono un canale principale di trasmissione della posizione precisa ai broker. Riveda l'accesso di ogni app a posizione, contatti e foto, e imposti la posizione su «durante l'uso» o disattivata. Limiti anche il tracciamento pubblicitario: su iPhone, disattivi «Consenti alle app di richiedere il tracciamento» (Impostazioni › Privacy e sicurezza › Tracciamento) e riveda i Servizi di localizzazione; su Android, elimini o reimposti l'ID pubblicitario e disattivi la personalizzazione degli annunci. Screen Time su iPhone e Family Link su Android possono bloccare queste scelte.
- Riduca al minimo ciò che è in giro. Usi un'email separata per gli account di negozi e iscrizioni, mantenga nomi utente unici così che i profili siano più difficili da collegare, elimini i vecchi account che nessuno usa e lasci perdere i quiz online divertenti — molti esistono per raccogliere le risposte come dati.
- Faccia opt-out dalle informazioni di elenco scolastiche. Chieda alla scuola come escludere i dati di suo figlio dai rilasci di «informazioni di elenco»; di solito è un unico modulo all'inizio dell'anno.
- Ricontrolli due volte l'anno. Imposti un promemoria ricorrente per rifare i principali opt-out e cercare di nuovo il nome di suo figlio, dato che le schede ritornano.
Niente di tutto ciò richiede di sparire da internet, e niente funziona come un unico pomeriggio eroico. Funziona come un ritmo. La stessa abitudine che riduce l'esposizione ai broker — sapere cosa c'è in giro e sistemarlo con regolarità — è quella che protegge suo figlio anche ovunque altrove. Se cerca un punto da cui partire, si sieda insieme a lui e controlli l'impronta di suo figlio, poi affronti la guida passo passo del pilastro su come ripulire e mettere in sicurezza. Per il quadro più ampio di cosa sia un'impronta, cominci da cos'è un'impronta digitale.
Mantenga la prospettiva di lungo periodo. Il fatto che i dati di suo figlio siano in giro non è un verdetto sul suo modo di fare il genitore o sulla prudenza del ragazzo — è la condizione predefinita del crescere online in un mercato costruito per raccogliere. Ciò che può controllare è quanto viene esposto e con quanta regolarità se ne prende cura. Lo faccia, e trasformerà un problema soverchiante in un'abitudine gestibile, due volte l'anno.
Domande frequenti
Che cos'è un data broker, in parole semplici?
Un data broker è un'azienda che raccoglie informazioni personali sulle persone da molte fonti diverse e le vende — di solito a operatori di marketing, ad altre aziende o a chiunque paghi — senza avere alcun rapporto diretto con le persone i cui dati detiene. L'agenzia per la privacy della California ne dà questa definizione: un'impresa che raccoglie e vende consapevolmente le informazioni personali di consumatori con cui non ha alcun rapporto diretto. Suo figlio non si è mai iscritto, non ha mai dato il consenso e nella maggior parte dei casi non sa nemmeno che l'azienda esista; il broker si limita ad assemblare un profilo a partire da dati già disponibili in giro.
Come fanno i data broker a ottenere le informazioni personali di un adolescente?
Per lo più da attività ordinarie, non da attacchi informatici. App e giochi condividono silenziosamente dati di posizione e del dispositivo tramite codice pubblicitario incorporato; le aste pubblicitarie possono diffondere dati del dispositivo e di posizione mentre gli annunci vengono caricati; le scuole possono rilasciare le «informazioni di elenco» di base; registri pubblici come atti immobiliari e documenti giudiziari vengono acquistati all'ingrosso; e le violazioni dei dati riversano tutto in circolazione. Nel 2024 la Federal Trade Commission statunitense ha rilevato che le grandi piattaforme spesso trattano gli utenti adolescenti come gli adulti e ne conservano i dati, incluse informazioni acquistate dai broker. Poiché così tanto viene raccolto indirettamente, il profilo di un adolescente può esistere anche se è stato prudente.
È legale per i data broker raccogliere e vendere i dati di un minore?
In gran parte degli Stati Uniti, sì. La legge federale sulla privacy dei minori, la COPPA, limita soprattutto il modo in cui i servizi online raccolgono dati dai bambini sotto i 13 anni — quindi per un ragazzo tra i 13 e i 17 anni non esiste una norma nazionale analoga che impedisca ai broker di raccoglierne e venderne i dati. Alcuni Stati hanno iniziato a colmare la lacuna: la California obbliga i broker a registrarsi e a rispettare le richieste di cancellazione, e una manciata di Stati estende ora le tutele agli under 18. Ma in assenza di una legge statale specifica, gran parte dei dati di un adolescente viene raccolta e commercializzata legalmente, ed è proprio per questo che contano le abitudini a livello familiare.
Come posso rimuovere le informazioni di mio figlio dai data broker?
Proceda con ordine. Faccia opt-out direttamente dai maggiori siti di ricerca di persone (Spokeo, Whitepages, BeenVerified, Intelius, Radaris) — ciascuno ha la propria pagina di opt-out e richiede una richiesta separata. Usi gli strumenti di Google per rimuovere i dettagli personali e, per chi ha meno di 18 anni, richieda la rimozione delle sue immagini dalla Ricerca. Se vive in California, il nuovo strumento statale DROP le consente di inviare una sola richiesta di cancellazione a tutti i broker registrati in una volta, e un genitore può presentarla per conto di un figlio. Poi metta in conto di ripetere i controlli, perché i dati riappaiono.
È possibile cancellare del tutto i propri dati dai data broker?
Realisticamente no — ed è utile saperlo fin dall'inizio. I broker ricostruiscono continuamente i loro database a partire da registri pubblici e flussi di dati commerciali, quindi un record che lei rimuove può riapparire mesi dopo. La stessa FTC osserva che fare opt-out non cancella i registri pubblici sottostanti, e i dati di suo figlio possono comunque riemergere attraverso le schede dei parenti. L'obiettivo onesto è ridurre e seppellire ciò che è esposto, tenere i dettagli più sensibili (indirizzo di casa, telefono) fuori dai grandi siti e trattare la rimozione come una manutenzione due volte l'anno anziché come una correzione una tantum.
I servizi a pagamento per la rimozione dei dati funzionano davvero?
In parte, e meno di quanto suggerisca il loro marketing. Uno studio di Consumer Reports del 2024 ha rilevato che i servizi di rimozione eliminavano solo circa il 35% delle schede di una persona dopo quattro mesi — e che fare l'opt-out manualmente funzionava all'incirca nel 70% dei casi, battendo ogni servizio a pagamento testato. Se cerca la comodità, i servizi migliori erano Optery ed EasyOptOuts; sia prudente su chi si fida, perché di un servizio, Onerep, si è scoperto che condivideva la proprietà con un data broker dal quale avrebbe dovuto rimuoverla. L'app gratuita Permission Slip di Consumer Reports è una via di mezzo ragionevole.