Ultimo aggiornamento: 2024/04/25 8:35.
È disponibile subito il podcast di oggi de
Il Disinformatico
della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto:
lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.
Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.
—
[CLIP: Voce sintetica che legge tediosamente un avviso di cookie]
Se provate a cliccare su “Rifiuto” quando un sito vi chiede se
accettate o rifiutate i cookie, due siti su tre in Europa ignoreranno la
vostra richiesta. Quella irritantissima, onnipresente finestrella che da anni
compare quando visitiamo un sito per la prima volta sembra essere insomma una
totale perdita di tempo. Perlomeno questo è il risultato di un esperimento
svolto recentemente da un gruppo di ricercatori del Politecnico federale di
Zurigo su un campione di quasi centomila siti popolari europei.
Questa è la storia dei cookie, del perché esistono, del motivo per cui
siamo assillati da queste richieste di accettarli o rifiutarli, e di questa
ricerca che a quanto pare mina alla base la loro esistenza.
Benvenuti alla puntata del 19 aprile 2024 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Cookie, biscottini che vengono da lontano
Cookie, che in inglese americano vuol dire letteramente “biscotto”, è
un termine informatico che arriva dagli anni Ottanta del secolo scorso, quando
lo si usava nei sistemi UNIX per indicare un pacchetto di dati ricevuto da un
programma e restituito intatto al sistema informatico che glielo aveva
mandato.
La stessa idea fu adottata anche per Internet e in particolare per il Web: nel
1994, ossia trent’anni fa, i cookie furono usati per la prima volta da uno dei
primissimi browser, Netscape (ve lo ricordate?). Servivano per sapere se un
utente aveva già visitato il sito di Netscape in precedenza. Il cookie era, ed
è tuttora, semplicemente un file che viene scritto sul computer dell’utente
dal sito visitato da quell’utente e contiene delle informazioni che quel sito
può leggere in un secondo momento. Per esempio, se un utente fa una serie di
acquisti su un sito, il contenuto del carrello della spesa virtuale può essere
salvato in un cookie, così se cade la connessione l’utente non deve
ricominciare tutto da capo.
All’epoca, trent’anni fa, l’esistenza dei cookie era sconosciuta alla maggior
parte degli utenti. I cookie erano soltanto una soluzione tecnica, per addetti
ai lavori: una delle tante che venivano sviluppate in quel periodo frenetico
di evoluzione di Internet. Ma un
articolo del Financial Times
[This bug in your PC is a smart cookie, 12/2/1996] ne parlò ampiamente
a febbraio del 1996, facendo notare le implicazioni di privacy dell’uso dei
cookie e scatenando l’interesse dell’opinione pubblica.
Da quel debutto lontano i cookie hanno fatto molta strada, e sono diventati
utilissimi per ricordare per esempio le preferenze di lingua o di aspetto di
un sito, in modo da non doverle tediosamente reimpostare ogni volta che si
visita quel sito, ma sono diventati anche una delle forme di tracciamento più
usate su Internet per la profilazione commerciale degli utenti. Quelle
implicazioni di privacy accennate tre decenni fa si sono avverate, insomma, e
oggi i grandi operatori commerciali e le agenzie pubblicitarie usano i cookie
per pedinare virtualmente gli utenti e osservare i loro interessi di
navigazione. Oltre il 90% dei siti web traccia gli utenti e raccoglie dati
personali.
Il rischio di abuso era troppo alto, e così nel corso degli anni sono state
emesse varie direttive europee sulla privacy digitale che hanno fatto scuola
anche in buona parte del resto del mondo. È il caso, per esempio, della
direttiva ePrivacy
del 2002 e in particolare del
GDPR, entrato in vigore nel 2018. Ed è a quel punto che sono comparse in massa
nei siti le finestre di richiesta di accettare o rifiutare i cookie.
Il GDPR, infatti, ha imposto ai siti di informare gli utenti del fatto che
venivano tracciati e di come venivano tracciati tramite i cookie, e la
finestra di richiesta (tecnicamente si chiama cookie notice) ha
risolto quest’obbligo. Perlomeno dal punto di vista dei siti. Dal punto di
vista degli utenti, invece, questa finestra incomprensibile, con i suoi
discorsi su “cookie tecnici, cookie di funzionalità, cookie di profilazione e pubblicità
mirata”, è stata percepita principalmente come una scocciatura, anche perché alla
fine per poter usare i siti era quasi sempre necessario accettare questi
benedetti cookie e quindi c’era ben poca scelta concreta.
E così siamo diventati un po’ tutti bravi cliccatori automatici del pulsante
“Accetta tutti”, ma in sostanza non è cambiato nulla e
continuiamo a essere profilati nelle nostre navigazioni.
Ricerca: il 65% dei siti web probabilmente ignora la richiesta di rifiuto dei
cookie
L’articolo dei ricercatori del Politecnico di Zurigo, disponibile presso
Usenix.org, spiega il metodo usato per documentare con i dati quello che molti utenti
sospettano da tempo: i ricercatori hanno adoperato il machine learning,
una particolare branca dell’intelligenza artificiale, per automatizzare il
processo di interazione con queste richieste di cookie dei siti. Questo ha
permesso di estendere la ricerca a ben 97.000 siti fra i più popolari, scelti
fra quelli che si rivolgono principalmente a utenti dell’Unione Europea,
includendo siti scritti in ben undici lingue dell’Unione.
Con questo approccio, i ricercatori hanno potuto inoltre includere vari tipi
differenti di avviso per i cookie e hanno potuto distinguere addirittura i
vari tipi di cookie richiesti, ossia quelli necessari per il funzionamento del
sito (i cosiddetti cookie tecnici) e quelli usati dai pubblicitari per
tracciare i visitatori del sito (i cosiddetti cookie di profilazione),
e sono riusciti anche a distinguere l’uso conforme o non conforme di questi
cookie.
In pratica, il software sviluppato dai ricercatori ha interagito con gli
avvisi per i cookie di questi siti nello stesso modo in cui lo avrebbe fatto
una persona, ossia riconoscendone il testo e agendo di conseguenza,
adattandosi alle singole situazioni, cliccando su “Accetto” o
“Rifiuto”
a seconda dei casi e acquisendo una copia dei cookie lasciati dal sito per
verificare quali dati venivano acquisiti nonostante il rifiuto. Questo è il
tipo di ricerca per il quale l’intelligenza artificiale risulta efficace e
rende fattibili studi che prima sarebbero stati impossibili o assurdamente
costosi.
I risultati, però, sono sconsolanti: oltre il 90% dei siti visitati con il
software scritto dai ricercatori contiene almeno una violazione della privacy.
Ci sono violazioni particolarmente vistose, come la mancanza totale di un
avviso per i cookie nei siti che usano i cookie per la profilazione dei
visitatori, che secondo i ricercatori si verifica in quasi un sito su tre,
ossia il 32%.
Il 56,7% dei siti esaminati non ha un pulsante che consenta di rifiutare i
cookie ma ha solo un pulsante per accettarli. I siti che hanno questo pulsante
di rifiuto e fanno profilazione commerciale tramite cookie nonostante l’utente
abbia rifiutato la profilazione sono il 65,4%. Fra i siti che usano i cookie
di profilazione, uno su quattro, ossia il 26%, non dichiara di farlo.
Un altro dato interessante che emerge da questa ricerca è che i siti più
popolari sono quelli che hanno la maggior probabilità di offrire un avviso per
i cookie e un pulsante per rifiutarli e che maggiormente dichiarano di
profilare gli utenti, ma sono anche i siti che tendono a ignorare maggiormente
il rifiuto degli utenti o a presumere un consenso implicito. In altre parole,
dicono i ricercatori,
“i siti popolari mantengono una facciata di conformità, ma in realtà
rastrellano più dati degli utenti di quanto facciano i siti meno
popolari.”
Che si fa?
È facile pensare che a questo punto i ricercatori abbiano in sostanza stilato
un enorme elenco di siti inadempienti, da portare subito in tribunale o di
fronte a un’autorità per la protezione dei dati, ma non è così. A differenza
di molte altre ricerche condotte usando software di intelligenza artificiale,
in questa viene messo molto in chiaro che una procedura automatica di questo
tipo ha un rischio di falsi positivi troppo elevato, circa il 9%, e che quindi
le segnalazioni fatte dall’intelligenza artificiale andrebbero controllate una
per una. In altre parole, il metodo in generale funziona e permette di
valutare la scala del problema, ma non è sufficientemente preciso da
poter puntare automaticamente il dito sui singoli siti che non rispettano le
norme.
Questo non vuol dire che tutta questa ricerca sia inutile all’atto pratico
perché tanto non consente di intervenire. Anzi, lo scopo dei ricercatori è
fornire per la prima volta uno strumento che finalmente consenta una
“analisi su vasta scala, generale e automatizzata, della conformità degli
avvisi per i cookie”, ben più ampia di tutti gli studi precedenti, e che permetta quindi una
vigilanza maggiore di quella attuale, che è manuale, per identificare i
violatori delle norme.
La vigilanza manuale ha già colpito parecchie volte. Per esempio, i
ricercatori notano che l’agenzia francese per la protezione dei dati, il CNIL,
ha multato Amazon per 35 milioni di dollari perché elaborava dati personali
senza aver prima ottenuto il consenso dell’utente e segnalano anche che lo
stesso CNIL ha multato Google e Facebook, rispettivamente per 150 e 90 milioni
di euro, perché non fornivano un pulsante di rifiuto ma solo quello di
accettazione dei cookie e chiedevano agli utenti di andare nelle impostazioni
per rifiutare i cookie.
Anche con i controlli puramente manuali, insomma, le sanzioni arrivano, ma a
quanto pare sono ancora moltissimi i siti che preferiscono rischiare le multe
e sperano di farla franca perché le probabilità di essere scoperti sono state
finora scarse e un’eventuale multa veniva messa in conto come semplice costo
operativo. Ma questa tecnica proposta dei ricercatori potrebbe cambiare la
situazione.
Staremo a vedere, e nel frattempo continueremo a cliccare.