Vai al contenuto

Podcast RSI – Story: La beffa dei cookie rifiutati

logo del Disinformatico

Ultimo aggiornamento: 2024/04/25 8:35.

È disponibile subito il podcast di oggi de
Il Disinformatico
della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto:
lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.

[CLIP: Voce sintetica che legge tediosamente un avviso di cookie]

Se provate a cliccare su “Rifiuto” quando un sito vi chiede se
accettate o rifiutate i cookie, due siti su tre in Europa ignoreranno la
vostra richiesta. Quella irritantissima, onnipresente finestrella che da anni
compare quando visitiamo un sito per la prima volta sembra essere insomma una
totale perdita di tempo. Perlomeno questo è il risultato di un esperimento
svolto recentemente da un gruppo di ricercatori del Politecnico federale di
Zurigo su un campione di quasi centomila siti popolari europei.

Questa è la storia dei cookie, del perché esistono, del motivo per cui
siamo assillati da queste richieste di accettarli o rifiutarli, e di questa
ricerca che a quanto pare mina alla base la loro esistenza.

Benvenuti alla puntata del 19 aprile 2024 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Cookie, biscottini che vengono da lontano

Cookie, che in inglese americano vuol dire letteramente “biscotto”, è
un termine informatico che arriva dagli anni Ottanta del secolo scorso, quando
lo si usava nei sistemi UNIX per indicare un pacchetto di dati ricevuto da un
programma e restituito intatto al sistema informatico che glielo aveva
mandato.

La stessa idea fu adottata anche per Internet e in particolare per il Web: nel
1994, ossia trent’anni fa, i cookie furono usati per la prima volta da uno dei
primissimi browser, Netscape (ve lo ricordate?). Servivano per sapere se un
utente aveva già visitato il sito di Netscape in precedenza. Il cookie era, ed
è tuttora, semplicemente un file che viene scritto sul computer dell’utente
dal sito visitato da quell’utente e contiene delle informazioni che quel sito
può leggere in un secondo momento. Per esempio, se un utente fa una serie di
acquisti su un sito, il contenuto del carrello della spesa virtuale può essere
salvato in un cookie, così se cade la connessione l’utente non deve
ricominciare tutto da capo.

All’epoca, trent’anni fa, l’esistenza dei cookie era sconosciuta alla maggior
parte degli utenti. I cookie erano soltanto una soluzione tecnica, per addetti
ai lavori: una delle tante che venivano sviluppate in quel periodo frenetico
di evoluzione di Internet. Ma un
articolo del Financial Times
[This bug in your PC is a smart cookie, 12/2/1996] ne parlò ampiamente
a febbraio del 1996, facendo notare le implicazioni di privacy dell’uso dei
cookie e scatenando l’interesse dell’opinione pubblica.

L’articolo del Financial Times che portò i cookie alla ribalta.

Da quel debutto lontano i cookie hanno fatto molta strada, e sono diventati
utilissimi per ricordare per esempio le preferenze di lingua o di aspetto di
un sito, in modo da non doverle tediosamente reimpostare ogni volta che si
visita quel sito, ma sono diventati anche una delle forme di tracciamento più
usate su Internet per la profilazione commerciale degli utenti. Quelle
implicazioni di privacy accennate tre decenni fa si sono avverate, insomma, e
oggi i grandi operatori commerciali e le agenzie pubblicitarie usano i cookie
per pedinare virtualmente gli utenti e osservare i loro interessi di
navigazione. Oltre il 90% dei siti web traccia gli utenti e raccoglie dati
personali.

Il rischio di abuso era troppo alto, e così nel corso degli anni sono state
emesse varie direttive europee sulla privacy digitale che hanno fatto scuola
anche in buona parte del resto del mondo. È il caso, per esempio, della
direttiva ePrivacy
del 2002 e in particolare del
GDPR, entrato in vigore nel 2018. Ed è a quel punto che sono comparse in massa
nei siti le finestre di richiesta di accettare o rifiutare i cookie.

Il GDPR, infatti, ha imposto ai siti di informare gli utenti del fatto che
venivano tracciati e di come venivano tracciati tramite i cookie, e la
finestra di richiesta (tecnicamente si chiama cookie notice) ha
risolto quest’obbligo. Perlomeno dal punto di vista dei siti. Dal punto di
vista degli utenti, invece, questa finestra incomprensibile, con i suoi
discorsi su cookie tecnici, cookie di funzionalità, cookie di profilazione e pubblicità
mirata”, è stata percepita principalmente come una scocciatura, anche perché alla
fine per poter usare i siti era quasi sempre necessario accettare questi
benedetti cookie e quindi c’era ben poca scelta concreta.

E così siamo diventati un po’ tutti bravi cliccatori automatici del pulsante
“Accetta tutti, ma in sostanza non è cambiato nulla e
continuiamo a essere profilati nelle nostre navigazioni.

Ricerca: il 65% dei siti web probabilmente ignora la richiesta di rifiuto dei
cookie

L’articolo dei ricercatori del Politecnico di Zurigo, disponibile presso
Usenix.org, spiega il metodo usato per documentare con i dati quello che molti utenti
sospettano da tempo: i ricercatori hanno adoperato il machine learning,
una particolare branca dell’intelligenza artificiale, per automatizzare il
processo di interazione con queste richieste di cookie dei siti. Questo ha
permesso di estendere la ricerca a ben 97.000 siti fra i più popolari, scelti
fra quelli che si rivolgono principalmente a utenti dell’Unione Europea,
includendo siti scritti in ben undici lingue dell’Unione.

Con questo approccio, i ricercatori hanno potuto inoltre includere vari tipi
differenti di avviso per i cookie e hanno potuto distinguere addirittura i
vari tipi di cookie richiesti, ossia quelli necessari per il funzionamento del
sito (i cosiddetti cookie tecnici) e quelli usati dai pubblicitari per
tracciare i visitatori del sito (i cosiddetti cookie di profilazione),
e sono riusciti anche a distinguere l’uso conforme o non conforme di questi
cookie.

In pratica, il software sviluppato dai ricercatori ha interagito con gli
avvisi per i cookie di questi siti nello stesso modo in cui lo avrebbe fatto
una persona, ossia riconoscendone il testo e agendo di conseguenza,
adattandosi alle singole situazioni, cliccando su “Accetto” o
“Rifiuto”
a seconda dei casi e acquisendo una copia dei cookie lasciati dal sito per
verificare quali dati venivano acquisiti nonostante il rifiuto. Questo è il
tipo di ricerca per il quale l’intelligenza artificiale risulta efficace e
rende fattibili studi che prima sarebbero stati impossibili o assurdamente
costosi.

I risultati, però, sono sconsolanti: oltre il 90% dei siti visitati con il
software scritto dai ricercatori contiene almeno una violazione della privacy.
Ci sono violazioni particolarmente vistose, come la mancanza totale di un
avviso per i cookie nei siti che usano i cookie per la profilazione dei
visitatori, che secondo i ricercatori si verifica in quasi un sito su tre,
ossia il 32%.

Il 56,7% dei siti esaminati non ha un pulsante che consenta di rifiutare i
cookie ma ha solo un pulsante per accettarli. I siti che hanno questo pulsante
di rifiuto e fanno profilazione commerciale tramite cookie nonostante l’utente
abbia rifiutato la profilazione sono il 65,4%. Fra i siti che usano i cookie
di profilazione, uno su quattro, ossia il 26%, non dichiara di farlo.

Un altro dato interessante che emerge da questa ricerca è che i siti più
popolari sono quelli che hanno la maggior probabilità di offrire un avviso per
i cookie e un pulsante per rifiutarli e che maggiormente dichiarano di
profilare gli utenti, ma sono anche i siti che tendono a ignorare maggiormente
il rifiuto degli utenti o a presumere un consenso implicito. In altre parole,
dicono i ricercatori,
“i siti popolari mantengono una facciata di conformità, ma in realtà
rastrellano più dati degli utenti di quanto facciano i siti meno
popolari.”

Che si fa?

È facile pensare che a questo punto i ricercatori abbiano in sostanza stilato
un enorme elenco di siti inadempienti, da portare subito in tribunale o di
fronte a un’autorità per la protezione dei dati, ma non è così. A differenza
di molte altre ricerche condotte usando software di intelligenza artificiale,
in questa viene messo molto in chiaro che una procedura automatica di questo
tipo ha un rischio di falsi positivi troppo elevato, circa il 9%, e che quindi
le segnalazioni fatte dall’intelligenza artificiale andrebbero controllate una
per una. In altre parole, il metodo in generale funziona e permette di
valutare la scala del problema, ma non è sufficientemente preciso da
poter puntare automaticamente il dito sui singoli siti che non rispettano le
norme.

Questo non vuol dire che tutta questa ricerca sia inutile all’atto pratico
perché tanto non consente di intervenire. Anzi, lo scopo dei ricercatori è
fornire per la prima volta uno strumento che finalmente consenta una
“analisi su vasta scala, generale e automatizzata, della conformità degli
avvisi per i cookie”, ben più ampia di tutti gli studi precedenti, e che permetta quindi una
vigilanza maggiore di quella attuale, che è manuale, per identificare i
violatori delle norme.

La vigilanza manuale ha già colpito parecchie volte. Per esempio, i
ricercatori notano che l’agenzia francese per la protezione dei dati, il CNIL,
ha multato Amazon per 35 milioni di dollari perché elaborava dati personali
senza aver prima ottenuto il consenso dell’utente e segnalano anche che lo
stesso CNIL ha multato Google e Facebook, rispettivamente per 150 e 90 milioni
di euro, perché non fornivano un pulsante di rifiuto ma solo quello di
accettazione dei cookie e chiedevano agli utenti di andare nelle impostazioni
per rifiutare i cookie.

Anche con i controlli puramente manuali, insomma, le sanzioni arrivano, ma a
quanto pare sono ancora moltissimi i siti che preferiscono rischiare le multe
e sperano di farla franca perché le probabilità di essere scoperti sono state
finora scarse e un’eventuale multa veniva messa in conto come semplice costo
operativo. Ma questa tecnica proposta dei ricercatori potrebbe cambiare la
situazione.

Staremo a vedere, e nel frattempo continueremo a cliccare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
“Cookie wall”: se vuoi leggere certi giornali italiani devi farti profilare. È legale? Qualche fonte per ragionarci su

“Cookie wall”: se vuoi leggere certi giornali italiani devi farti profilare. È legale? Qualche fonte per ragionarci su

Da pochi giorni Repubblica, La Stampa e altri giornali hanno cambiato le condizioni di accesso gratuito ai loro siti e ora bisogna accettare se farsi profilare con i cookie o sottoscrivere un abbonamento. Cosa già fatta da Fatto Quotidiano e altre testate.

Il Garante della privacy italiano ha avviato un esame della questione. Potete leggere un buon riassunto della vicenda su Il Post, che include anche riferimenti alle scelte analoghe fatte in altri paesi.

Qui sotto trovate un video sull’argomento di Matteo Flora.

Ne parla anche l’avvocato Andrea Michinelli su Cybersecurity360.it.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Davvero questo blog è stato segnalato al Garante Privacy italiano? Aiutatemi a capire

Davvero questo blog è stato segnalato al Garante Privacy italiano? Aiutatemi a capire

Ultimo aggiornamento: 2022/05/04 11:10.

Alcune settimane fa un lettore mi ha scritto una mail avvisandomi che il 22
marzo aveva
“partecipato ad un webinar registrato organizzato dal dipartimento di
scienze della comunicazione e dello spettacolo dell’università Cattolica del
Sacro Cuore.”
In questo webinar aveva
“parlato un addetto del garante per la protezione dei dati personali in
merito alle nuove linee guida sui cookie dei siti web valide dal 10 gennaio
2022”
ed erano stati
“mostrati come esempi negativi per la categoria blog il sito
https://attivissimo.blogspot.com/”
e un altro sito di cui tralascio il nome. Secondo il lettore,
“[i]l responsabile dell’evento ha detto che tutti i siti mostrati nelle
slide (60 in tutto) sono stati segnalati. […] Dato che si parla di multe
che partono dai 6000 euro a crescere in base al numero di visualizzazioni
giornaliere, mi sembrava giusto segnalarlo perché sono un sostenitore di
questo blog.”

Preoccupante. Ma è passato ormai un po’ di tempo, e qui al Maniero Digitale
non sono arrivate né comunicazioni né tanto meno multe da seimila euro da
parte del Garante italiano. La cosa non mi sorprende più di tanto, perché vivo
appunto in Svizzera e il blog viene redatto e gestito da qui, ma vorrei capire
come stanno le cose.

Se questo blog non è conforme, vorrei adeguarlo (e mi piacerebbe sapere come);
se lo è, vorrei sapere chi è che nei convegni pubblici addita questo blog a
torto e chiedergli di non farlo.

Purtroppo il lettore non si ricordava il nome dell’addetto, e non trovo nulla
nel calendario eventi del
dipartimento. Ho chiesto lumi pubblicamente al Garante e sono in attesa di risposta. 

Ho due richieste di aiuto: 

  1. Qualcuno sa qualcosa di questo evento e/o mi può aiutare a rintracciare l’evento e la
    persona e chiarire cosa è stato detto e mostrato esattamente?
  2. Se questo blog ha delle non conformità, quali sono, e come si correggono?

Grazie. 

—-

Cominciamo dalle basi. Le nuove linee guida in questione dovrebbero essere
queste.

Nell’help di Google trovo
queste info, che parlano di una
“Notifica sui cookie nei paesi dell’Unione europea” e precisano che
“[…] Al fine di soddisfare tali requisiti, abbiamo aggiunto la seguente
notifica sul tuo blog: “Questo sito utilizza cookie di Google per erogare i
propri servizi e per analizzare il traffico. Il tuo indirizzo IP e il tuo
agente utente sono condivisi con Google, unitamente alle metriche sulle
prestazioni e sulla sicurezza, per garantire la qualità del servizio,
generare statistiche di utilizzo e rilevare e contrastare eventuali
abusi.”” 

Io però questa notifica non la vedo quando visito questo blog con un browser
vergine (tipo Browserling.com), e non la vedo nemmeno negli altri blog che
gestisco. Voi la vedete? C’è chi mi
dice di
vederla
come bandina grigia in testa al blog quando lo visita in una sessione anonima
del proprio browser.

Ho tentato con una VPN, simulando di essere in territorio francese, ed
effettivamente se apro una finestra di navigazione privata il banner mi
compare. Beh, almeno adesso so cosa devo fare per vedere il mio sito come lo
vede un residente UE.

Il banner linka, alle parole “ulteriori informazioni”, la pagina www.blogger.com/go/blogspot-cookies, che descrive in dettaglio in che modo Google utilizza i cookie e i tipi di cookie utilizzati da Google.

—-

Su suggerimento di un commentatore ho provato a usare
Cookiebot in versione gratuita per sapere quali cookie
vengono usati da questo blog. Cookiebot dice che il blog è “non conforme” e trova (nella scansione base, meno completa di quella della versione a pagamento) 23 cookie di Google, YouTube, Disqus, Livestream.com e Twitter. Nulla che dipenda da me. 

Nota per tutti i commentatori che arrivano con “soluzioni” del tipo “migra tutto il blog a un’altra piattaforma”: per favore, non facciamo come quelli che quando sentono di un problema con Windows propongono “installa Linux”. Grazie. 

Oltretutto migrare non servirebbe a nulla: dovrei cancellare questo blog. Perché se questo blog non è conforme e non lo cancello, continua a non essere conforme, anche se smetto di aggiornarlo, e quindi il problema della non conformità, con ipotetica sanzione, non si risolve.

—-

2022/05/04 11:10. Ho aggiunto all’intestazione del blog la dicitura “Avviso cookie: Questo blog include cookie di Google, YouTube, Disqus e Twitter. Non miei.” Spero che sia sufficiente.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Perché SaluteLazio ha il tracciamento di Facebook e Google nell’area privata e chiede di accettare un’informativa privacy che non esiste?

Salutelazio.it, il sito del sistema
sanitario regionale della Regione Lazio, ospita tracciatori di Facebook e di
Google nell’area privata. Lo segnala
Eugenio Petullà, mostrando queste immagini:

Le immagini pubblicate da Petullà mostrano che nel codice HTML dell’area
privata è presente il codice del
Facebook Pixel, che è il sistema di tracciamento di Facebook, e c’è un link a Google
Analytics. Questo sembra indicare che l’utente viene tracciato da Facebook e
da Google anche nella sua sessione sanitaria privata.

Non sono utente di SaluteLazio, per cui non posso verificare questa
segnalazione (di cui non ho motivo di dubitare). Se potete farlo voi,
segnalatemelo nei commenti o in privato via mail (a
paolo.attivissimo@gmail.com).

È assolutamente folle che un ente sanitario pubblico immetta un tracciatore
commerciale nel proprio sito.

Ieri ho
chiesto chiarimenti
via Twitter a SaluteLazio e oggi ho scritto una PEC al DPO indicato nell’informativa sulla privacy: finora non ci sono risposte.

Intanto Petullà ha
scoperto
che l’informativa sui cookie di SaluteLazio porta al nulla. Se ci si collega
al sito per la prima volta (o in navigazione privata), compare infatti la
richiesta di accettare i cookie, accompagnata dal link
Leggi l’informativa cookie completa; ma questo link porta semplicemente
a salutelazio.it (l’HREF è vuoto, nota
Camelia Boban; copia permanente). 

In altre parole: Salutelazio.it chiede agli utenti di accettare un’informativa
che non esiste.

Ci fanno una testa così con la tutela della privacy e il GDPR, e poi fanno
sconcezze ridicole come queste.

Intanto, se volete farvi un’idea di quanto sia invasivo e pervasivo il
tracciamento commerciale effettuato da Facebook (con il consenso dei vari siti), provate a sfogliare la vostra Attività fuori da Facebook, che “include informazioni che aziende e organizzazioni condividono con noi sulle tue interazioni con loro, ad esempio quando visiti le loro app o i loro siti web”

Sarà interessante scoprire perché la Regione Lazio manda a Facebook informazioni sulle interazioni degli utenti con il sito e in particolare con la sezione dedicata alla salute.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
La “legge sui cookie” sfruttata dai truffatori per rubare click

La “legge sui cookie” sfruttata dai truffatori per rubare click

Avete presente quella richiesta ossessiva di consenso riguardante i cookie che compare ogni volta che visitate un sito per la prima volta? Certo che l’avete presente: è dappertutto. Non si riesce a evitarla. È il frutto della ormai famosa (o famigerata) “legge sui cookie”, introdotta nel 2014 per tutti i siti in territorio europeo con l’intento di tutelare gli utenti contro la raccolta eccessiva di dati personali.

Il risultato fondamentale di questa legge, sicuramente concepita con le migliori intenzioni ma messa in pratica non molto felicemente, è che ora gli utenti europei sono abituati a cliccare senza pensare su qualunque avviso che somigli vagamente a quello relativo ai cookie previsto dalla legge. E naturalmente è arrivato il malintenzionato che ha trovato il modo di approfittare di questo condizionamento mentale.

Malwarebytes, infatti, segnala che sta girando una campagna pubblicitaria che induce gli utenti a cliccare su quello che sembra essere un normale avviso riguardante i cookie ma in realtà nasconde una pubblicità: il risultato è che l’utente crede di cliccare sull’avviso ma invece clicca sullo spot e quindi viene caricato il sito dell’inserzionista anche se l’utente non è affatto interessato al contenuto pubblicizzato.

Questo, secondo le regole della pubblicità online, comporta un costo per l’inserzionista e un guadagno per il truffatore che ha generato il clic: è una tecnica chiamata clickjacking, ossia “dirottamento di clic”.

Noi utenti possiamo fare ben poco: Malwarebytes ha già notificato la truffa a Google, che gestisce il circuito pubblicitario preso di mira, e ora spetta a Google e all’inserzionista fare pulizia. Ma adesso abbiamo una ragione in più per detestare l’avviso sui cookie.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornate il vostro iOS per non farvi rubare gli account tramite Wi-Fi

Aggiornate il vostro iOS per non farvi rubare gli account tramite Wi-Fi

Pochi giorni fa è uscito un aggiornamento per iOS che chiude una falla particolarmente grave, che consente a un accesso Wi-Fi di prendere il controllo degli account delle vittime. Come se non bastasse, la falla esiste da anni: è stata segnalata ad Apple dagli esperti di sicurezza di Skycure a giugno del 2013 ed è stata risolta soltanto ora.

La falla sta nel modo in cui iOS gestisce i cosiddetti captive portal, ossia quelle finestre che compaiono automaticamente sullo schermo quando un utente di iPhone, iPad o iPod touch si collega a un Wi-Fi pubblico. Queste finestre consentono di navigare nelle pagine Web locali (per esempio quelle dell’albergo o aeroporto in cui si trova l’utente) o di dare le proprie credenziali per connettersi a Internet.

Fino all’aggiornamento alla versione 9.2.1 di iOS appena uscito, questa finestra veniva gestita in modo promiscuo: aveva accesso ai cookie di Safari, col risultato che l’aggressore che creava un accesso Wi-Fi ostile poteva rubare questi cookie e usarli per spacciarsi per l’utente per esempio in un social network, prendendo temporaneamente il controllo dei suoi account. Il fatto che la finestra del captive portal si apre automaticamente facilita notevolmente il lavoro del truffatore.

Dalla versione 9.2.1 in poi questa falla non è più sfruttabile perché i cookie non vengono più condivisi. Aggiornarsi, insomma, non è un optional. Complimenti a Skycure, fra l’altro, per aver saputo mantenere il segreto per più di due anni in attesa che Apple sistemasse il problema.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.