Ultimo aggiornamento: 2024/04/25 8:35.
È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.
---
[CLIP: Voce sintetica che legge tediosamente un avviso di cookie]
Se provate a cliccare su “Rifiuto" quando un sito vi chiede se accettate o rifiutate i cookie, due siti su tre in Europa ignoreranno la vostra richiesta. Quella irritantissima, onnipresente finestrella che da anni compare quando visitiamo un sito per la prima volta sembra essere insomma una totale perdita di tempo. Perlomeno questo è il risultato di un esperimento svolto recentemente da un gruppo di ricercatori del Politecnico federale di Zurigo su un campione di quasi centomila siti popolari europei.
Questa è la storia dei cookie, del perché esistono, del motivo per cui siamo assillati da queste richieste di accettarli o rifiutarli, e di questa ricerca che a quanto pare mina alla base la loro esistenza.
Benvenuti alla puntata del 19 aprile 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Cookie, biscottini che vengono da lontano
Cookie, che in inglese americano vuol dire letteramente “biscotto”, è un termine informatico che arriva dagli anni Ottanta del secolo scorso, quando lo si usava nei sistemi UNIX per indicare un pacchetto di dati ricevuto da un programma e restituito intatto al sistema informatico che glielo aveva mandato.
La stessa idea fu adottata anche per Internet e in particolare per il Web: nel 1994, ossia trent’anni fa, i cookie furono usati per la prima volta da uno dei primissimi browser, Netscape (ve lo ricordate?). Servivano per sapere se un utente aveva già visitato il sito di Netscape in precedenza. Il cookie era, ed è tuttora, semplicemente un file che viene scritto sul computer dell’utente dal sito visitato da quell’utente e contiene delle informazioni che quel sito può leggere in un secondo momento. Per esempio, se un utente fa una serie di acquisti su un sito, il contenuto del carrello della spesa virtuale può essere salvato in un cookie, così se cade la connessione l’utente non deve ricominciare tutto da capo.
All’epoca, trent’anni fa, l’esistenza dei cookie era sconosciuta alla maggior parte degli utenti. I cookie erano soltanto una soluzione tecnica, per addetti ai lavori: una delle tante che venivano sviluppate in quel periodo frenetico di evoluzione di Internet. Ma un articolo del Financial Times [This bug in your PC is a smart cookie, 12/2/1996] ne parlò ampiamente a febbraio del 1996, facendo notare le implicazioni di privacy dell’uso dei cookie e scatenando l’interesse dell’opinione pubblica.
Da quel debutto lontano i cookie hanno fatto molta strada, e sono diventati utilissimi per ricordare per esempio le preferenze di lingua o di aspetto di un sito, in modo da non doverle tediosamente reimpostare ogni volta che si visita quel sito, ma sono diventati anche una delle forme di tracciamento più usate su Internet per la profilazione commerciale degli utenti. Quelle implicazioni di privacy accennate tre decenni fa si sono avverate, insomma, e oggi i grandi operatori commerciali e le agenzie pubblicitarie usano i cookie per pedinare virtualmente gli utenti e osservare i loro interessi di navigazione. Oltre il 90% dei siti web traccia gli utenti e raccoglie dati personali.
Il rischio di abuso era troppo alto, e così nel corso degli anni sono state emesse varie direttive europee sulla privacy digitale che hanno fatto scuola anche in buona parte del resto del mondo. È il caso, per esempio, della direttiva ePrivacy del 2002 e in particolare del GDPR, entrato in vigore nel 2018. Ed è a quel punto che sono comparse in massa nei siti le finestre di richiesta di accettare o rifiutare i cookie.
Il GDPR, infatti, ha imposto ai siti di informare gli utenti del fatto che venivano tracciati e di come venivano tracciati tramite i cookie, e la finestra di richiesta (tecnicamente si chiama cookie notice) ha risolto quest’obbligo. Perlomeno dal punto di vista dei siti. Dal punto di vista degli utenti, invece, questa finestra incomprensibile, con i suoi discorsi su “cookie tecnici, cookie di funzionalità, cookie di profilazione e pubblicità mirata”, è stata percepita principalmente come una scocciatura, anche perché alla fine per poter usare i siti era quasi sempre necessario accettare questi benedetti cookie e quindi c’era ben poca scelta concreta.
E così siamo diventati un po’ tutti bravi cliccatori automatici del pulsante “Accetta tutti”, ma in sostanza non è cambiato nulla e continuiamo a essere profilati nelle nostre navigazioni.
Ricerca: il 65% dei siti web probabilmente ignora la richiesta di rifiuto dei cookie
L’articolo dei ricercatori del Politecnico di Zurigo, disponibile presso Usenix.org, spiega il metodo usato per documentare con i dati quello che molti utenti sospettano da tempo: i ricercatori hanno adoperato il machine learning, una particolare branca dell’intelligenza artificiale, per automatizzare il processo di interazione con queste richieste di cookie dei siti. Questo ha permesso di estendere la ricerca a ben 97.000 siti fra i più popolari, scelti fra quelli che si rivolgono principalmente a utenti dell’Unione Europea, includendo siti scritti in ben undici lingue dell’Unione.
Con questo approccio, i ricercatori hanno potuto inoltre includere vari tipi differenti di avviso per i cookie e hanno potuto distinguere addirittura i vari tipi di cookie richiesti, ossia quelli necessari per il funzionamento del sito (i cosiddetti cookie tecnici) e quelli usati dai pubblicitari per tracciare i visitatori del sito (i cosiddetti cookie di profilazione), e sono riusciti anche a distinguere l’uso conforme o non conforme di questi cookie.
In pratica, il software sviluppato dai ricercatori ha interagito con gli avvisi per i cookie di questi siti nello stesso modo in cui lo avrebbe fatto una persona, ossia riconoscendone il testo e agendo di conseguenza, adattandosi alle singole situazioni, cliccando su “Accetto” o “Rifiuto” a seconda dei casi e acquisendo una copia dei cookie lasciati dal sito per verificare quali dati venivano acquisiti nonostante il rifiuto. Questo è il tipo di ricerca per il quale l’intelligenza artificiale risulta efficace e rende fattibili studi che prima sarebbero stati impossibili o assurdamente costosi.
I risultati, però, sono sconsolanti: oltre il 90% dei siti visitati con il software scritto dai ricercatori contiene almeno una violazione della privacy. Ci sono violazioni particolarmente vistose, come la mancanza totale di un avviso per i cookie nei siti che usano i cookie per la profilazione dei visitatori, che secondo i ricercatori si verifica in quasi un sito su tre, ossia il 32%.
Il 56,7% dei siti esaminati non ha un pulsante che consenta di rifiutare i cookie ma ha solo un pulsante per accettarli. I siti che hanno questo pulsante di rifiuto e fanno profilazione commerciale tramite cookie nonostante l’utente abbia rifiutato la profilazione sono il 65,4%. Fra i siti che usano i cookie di profilazione, uno su quattro, ossia il 26%, non dichiara di farlo.
Un altro dato interessante che emerge da questa ricerca è che i siti più popolari sono quelli che hanno la maggior probabilità di offrire un avviso per i cookie e un pulsante per rifiutarli e che maggiormente dichiarano di profilare gli utenti, ma sono anche i siti che tendono a ignorare maggiormente il rifiuto degli utenti o a presumere un consenso implicito. In altre parole, dicono i ricercatori, “i siti popolari mantengono una facciata di conformità, ma in realtà rastrellano più dati degli utenti di quanto facciano i siti meno popolari.”
Che si fa?
È facile pensare che a questo punto i ricercatori abbiano in sostanza stilato un enorme elenco di siti inadempienti, da portare subito in tribunale o di fronte a un’autorità per la protezione dei dati, ma non è così. A differenza di molte altre ricerche condotte usando software di intelligenza artificiale, in questa viene messo molto in chiaro che una procedura automatica di questo tipo ha un rischio di falsi positivi troppo elevato, circa il 9%, e che quindi le segnalazioni fatte dall’intelligenza artificiale andrebbero controllate una per una. In altre parole, il metodo in generale funziona e permette di valutare la scala del problema, ma non è sufficientemente preciso da poter puntare automaticamente il dito sui singoli siti che non rispettano le norme.
Questo non vuol dire che tutta questa ricerca sia inutile all’atto pratico perché tanto non consente di intervenire. Anzi, lo scopo dei ricercatori è fornire per la prima volta uno strumento che finalmente consenta una “analisi su vasta scala, generale e automatizzata, della conformità degli avvisi per i cookie”, ben più ampia di tutti gli studi precedenti, e che permetta quindi una vigilanza maggiore di quella attuale, che è manuale, per identificare i violatori delle norme.
La vigilanza manuale ha già colpito parecchie volte. Per esempio, i ricercatori notano che l’agenzia francese per la protezione dei dati, il CNIL, ha multato Amazon per 35 milioni di dollari perché elaborava dati personali senza aver prima ottenuto il consenso dell’utente e segnalano anche che lo stesso CNIL ha multato Google e Facebook, rispettivamente per 150 e 90 milioni di euro, perché non fornivano un pulsante di rifiuto ma solo quello di accettazione dei cookie e chiedevano agli utenti di andare nelle impostazioni per rifiutare i cookie.
Anche con i controlli puramente manuali, insomma, le sanzioni arrivano, ma a quanto pare sono ancora moltissimi i siti che preferiscono rischiare le multe e sperano di farla franca perché le probabilità di essere scoperti sono state finora scarse e un’eventuale multa veniva messa in conto come semplice costo operativo. Ma questa tecnica proposta dei ricercatori potrebbe cambiare la situazione.
Staremo a vedere, e nel frattempo continueremo a cliccare.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.