Che cosa sono i tracker? Sono ovunque, invasivi, tracciano gli utenti sul web e ne ricavano profili. Una tecnica di monitoraggio usata da aziende, governi e perfino dai cyber criminali. Fortunatamente il GDPR ha messo un freno a tutto questo.
Contributo originale degli esperti di acconsento.click
Tracker: che cosa sono?
Cominciamo dal principio. I tracker sono una tecnologia pensata per tracciare le attività di un utente in rete. Sono un mezzo che consente di ottenere informazioni e dati utili. Sono onnipresenti, nascosti in ogni angolo del web e sono una vera minaccia alla privacy. Troviamo tracker nelle pagine web, a condividere dati con dozzine di terze parti. Troviamo tracker in molte app mobile, a raccogliere i nostri dati personali come la posizione o il registro delle chiamate ecc…
Qui ci concentreremo sui tracker sul web, ma è bene sapere che esistono le forme più svariate di tracciamento. Ad esempio le fidelity card del supermercato ci consentono sconti, ma servono anche a tracciare i nostri consumi e le nostre preferenze. Chi organizza concerti e campagne elettorali utilizza i beacon bluetoooth e Wi-Fi per monitoraggi passivi nella loro zona ecc…
Sul web ne sono disseminati i social, che registrano le più piccole e lievi interazioni. Qui si capisce quanto i tracker siano insidiosi. Spesso gli utenti sono consapevoli solo di cosa pubblicano su un social, ma non hanno alcuna idea di quali informazioni i social estrapolano davvero e, magari, condividono con terze parti. Ogni attività è monitorata e negli anni i dati su ognuno di noi si accumulano e accumulano e tra questi aumentano e si accumulano anche dati a noi riconducibili (non anonimizzati).
IL GDPR ha fortunatamente imposto rigidi limiti, pretendendo ad esempio il consenso dell’utente al tracciamento. La realtà è che una infinita miriade di siti web e app non applica il GDPR o lo elude, trovando comunque il sistema di tracciare gli utenti. Per pubblicisti, marketer e simili questi dati sono il pane quotidiano e difficilmente ci rinunceranno, sopratutto i più “spregiudicati”.
A che cosa servono?
La domanda sorge spontanea: a cosa serve un tracciamento così invasivo? Il motivo è semplice e prende il nome di profilazione. Conoscere gusti, comportamenti, preferenze è fondamentale per standardizzare, tipizzare si direbbe, profili di consumatori. Una volta che un gruppo di utenti (o anche il singolo utente) sono stati profilati è possibile pianificare e coinvolgerli una campagna di marketing mirata. Gli annunci su misura, i contenuti mirati sono precedeuti da questa attività di tracciamento invasivo.
La forza di grandi aziende come Google si basa principalmente sul detenere quantità enormi ed infinite di dati, tramite i quali impostare campagne aggressive di marketing e lanciare nuovi servizi per raccogliere sempre più dati. Un esempio sono i dati sanitari: fino a pochi anni fa i dati sulla salute non erano raccolti e non facevano gola, adesso che esistono gli smartwatch, i fitbit e e simili, tra i dati registrati figurano anche battito cardiaco, pressione e perfino quanti passi facciamo al giorno. Ora siamo arrivati a parlare di tracking vocale, per regolare gli annunci pubblicitari da mostrare secondo il tono di voce dell’utente….
Per saperne di più > Riconoscimento vocale sempre più diffuso, sempre più centrale per il nuovo marketing. E riservatezza e privacy?
Non solo le aziende hanno interesse al tracciamento, ma anche i governi che possono così individuare e perseguire gesti e comportamenti sospetti o apertamente criminosi. In ultimo sono ghiotti di questi dati i cyber attaccanti, sopratutto nei casi in cui questi dati sono abbandonati su database esposti (e il problema non è affatto remoto, anzi!). Quei dati sono una miniera d’oro per email di phishing targettizzate, spear phishing e phishing adattivo.
Infine lo scandalo Cambridge Analytica ha dimostrato come sia possibile utilizzare i dati raccolti a fine di profilazione per attivare meccanismi (illegali) di manipolazione comportamentale di massa.
Come funziona il tracciamento nel web
La maggior parte del tracciamento di terze parti serve proprio a creare profili di persone reali. In breve ogni tracker necessita di un identificatore che gli permetta di collegare un certo dato ad una determinata persona. Lo stesso meccanismo può avvenire in forma indiretta: l’informazione non viene collegata ad una persona ma al dispositivo o al browser che utilizza. In questo caso è possibile tracciare non una sola persona, ma magari una intera famiglia che utilizza lo stesso dispositivo.
Il tracker terrà conto dei click, delle ricerche, di quanto tempo un utente passa su una singola pagina, quante pagine visita, su quale sezione di una determinata pagina passa più tempo e quali sezioni invece trova meno interessanti. Ma i tracker possono individuare anche informazioni sulla geolocalizzazone dell’utente, l’indirizzo IP e perfino spulciare la cronologia.
Nella quasi totalità dei casi questi dati sono raccolti tramite cookie tracker
Web tracker: il browser fingerprint
Una fingerprint del browser, letteralmente impronta digitale, è l’insieme di attributi che, singolarmente o combinati tra loro, individuano un singolo browser su un singolo dispositivo in maniera univoca. Una importa digitale del browser utilizza come identificativi la versione del software installato, la risoluzione dello schermo del dispositivo, il fuso orario ecc…
A queste “identità browser” sono associati quei dati che i browser non possono non esporre perché sono necessari per soddisfare le richieste dell’utente che lo sta utilizzando. Non solo la richiesta esplicita (contatta questo sito web per me), ma le centinaia di richieste in background che il browser scambia col server. Vi rientrano quindi tutte le informazioni che sono inviate dal browser ad un server quando viene visitato un sito. Spesso però sono raccolte anche informazioni ulteriori, semplicemente attivando Javascript sulla pagina web.
Tracciamento cross-site: cosa è?
Un’altra forma di tracciamento online è quello detto cross-site che identifica gli utenti seguendoli nel loro transitare da un sito web e l’altro. Questo è possibile, tecnicamente, tramite cookie di terze parti configurati da soggetti esterni. L’esempio più chiaro di questa forma di tracciamento cross-site sono i tasi “Condividi” e ” Mi piace” di Facebook, Twitter e altri social. Questi consentono alle rispettive organizzazioni di tracciare gli utenti, anche quelli che non hanno un account sulla piattaforma social.
Tracker e GDPR: quali limiti?
Il GDPR e la direttiva ePrivacy hanno finalmente posto forti limiti al tracciamento online. Anzitutto è stato reso illegale il tracciamento tramite cookie se l’utente non ha prestato apertamente il consenso. In breve significa che non è permesso impostare cookie di tracciamento verso utenti che hanno sede in Unione Europea a meno che non sia raccolto un consenso esplicito. Questo obbliga ogni gestore di siti web a dotarsi di soluzioni adeguate a gestire e tenere traccia dei consensi ricevuti sul proprio sito web.
Dato fondamentale è che il consenso, per essere legittimo, deve essere preventivo. I cookie di tracciamento dovranno quindi essere disabilitati sul sito web e installati solo dopo che l’utente vi ha acconsentito.
Per approfondire > GDPR e siti web: cosa è utile sapere per la conformità alle linee guida del Garante sui cookie -10 Gennaio 2022
Acconsento.click ti dirà se il tuo sito web esegue cookie di tracciamento
Lo scan engine di acconsento.click individuerà quali cookie sono presenti sul tuo sito web e infine genererà un widget (una sorta di pulsante) graficamente elegante e non invasivo che apparirà in basso a sinistra nella home page del tuo sito. Il widget permette all’utente di accedere al Centro di controllo privacy per conoscere le modalità con cui sono trattati i suoi dati personali e per poter modificare i consensi concessi con la stessa facilità con cui sono stati inizialmente rilasciati, tutto secondo le nuove normative in materia.
Acconsento.click genererà poi automaticamente le cookie policy e privacy policy per il tuo sito web, rispettando le previsioni normative e la conformità al GDPR.