Si è concluso per ora il lavoro di dibattito e analisi dell’agenzia statunitense FTC (Federal Trade Commission) sull’attualissimo tema dei c.d. digital dark pattern, ovvero il design manipolatorio, in ambito digitale, che forza gli utenti a compiere scelte indesiderate o inconsapevoli, anche a proprio danno.
Il risultato è un recentissimo “staff report” in cui l’agenzia classifica le varie tipologie di pratiche ingannevoli di app, siti web, social media, ecc., rimarcando la loro nocività per il consumatore e, dunque, per l’interesse pubblico. Un documento di orientamento utilissimo per tutti, imprese e consumatori.
Si è già segnalata la sensibilità nella nostra Europa per queste pratiche allarmanti, dalla disciplina espressa nel testo del Digital Services Act alle recenti linee guida EDPB (di cui il report FTC sembra porsi come versione USA di quel documento di indirizzo), oltre a diversi casi affrontati anche da noi sotto il profilo della tutela consumeristica (si vedano i diversi casi analizzati dall’Antitrust, ad es. avverso Google ed Apple, per pratiche commerciali ingannevoli).
Nondimeno negli USA – dove la problematica incorpora direttamente la tutela privacy e dei dati personali nel rispetto della capacità decisionale (“autonomy and decision-making”) del consumatore – si ha evidenza di una crescente preoccupazione che porterà, prima o poi, a prevedibili azioni “decisive” da parte delle agenzie, del governo e forse a interventi legislativi. Vediamo di seguito una breve panoramica dell’approccio americano.
Indice degli argomenti
Digital dark pattern: il workshop FTC di kick-off
L’FTC ha dato il via al confronto pubblico con un workshop, intitolato “Bringing Dark Patterns to Light” e tenutosi a Washington nell’aprile 2021. Dai materiali si evince che non si è trattato certo di un piccolo evento per addetti ai lavori: oltre a vari esperti, inclusi legali, docenti e ricercatori universitari (basti menzionare il prof. Ryan Calo), sono intervenuti altresì diversi politici dell’establishment USA.
Insomma, l’attenzione è alta e coinvolge profili di interesse pubblico sentiti da parte della cittadinanza e della società civile americana.
Il workshop aveva l’ambizione di discutere di tanti risvolti, ovvero:
- come i dark pattern differiscano dalle tattiche impiegate nella vendita tradizionale, quella “fisica”;
- come influenzino il comportamento dei consumatori, con disamina dei potenziali danni arrecabili agli stessi;
- se alcuni gruppi di consumatori fossero ingiustamente presi di mira o particolarmente vulnerabili a certe tecniche;
- quali leggi, regole e norme americane regolino attualmente i dark pattern;
- se siano necessari norme o enforcement supplementari per proteggere i consumatori.
In breve, il workshop era arrivato a strutturarsi come un vero e proprio studio di questa complessa pratica, partendo dal tentativo di fornire definizioni condivisibili, alla cernita dei modelli maggiormente diffusi, ai fattori che ostacolano la lotta al fenomeno, al rapporto con il machine learning e l’IA, all’efficacia concreta, ai danni potenziali verso i consumatori e alla loro percezione, ai vincoli commerciali e di autoregolamentazione in corso. Infine con uno sguardo alle possibili soluzioni per le difficili realtà riportate nel corso del workshop, domandosi quale possa essere una ricetta per una “cura” efficace, su più fronti, del fenomeno. Ormai incontrollato.
Orbene, il workshop (di cui si trovano i materiali e una videoregistrazione online) ha portato ad elaborare i tanti contributi prestati, fruttando questo (primo?) c.d. “staff report” che tenta di organizzare sistematicamente una prima area, decisiva: quella della tassonomia, dell’inquadramento delle prassi “portate alla luce” dai vari soggetti coinvolti. Forti del contributo pubblico, visto che era possibile liberamente presentare – successivamente al workshop –osservazioni, commenti, contributi per aiutare la disamina.
Lo “staff report” dell’FTC
Come detto, questo documento si limita solo ad illustrare il fenomeno, organizzando in categorie i possibili dark pattern riscontrati. A differenza delle linee guida EDPB, non ci si è concentrati sull’ambito dei social media bensì si è approfondito in generale l’ambito digitale di interazione con gli utenti consumatori.
Prassi assimilabili ai dark pattern sono note da tempo immemore, in vari ambiti e campi, che possiamo chiamare banalmente “truffe” o “raggiri” per capirci: nel digitale trovano un ambiente dove l’inganno trova una spinta inedita, grazie alle caratteristiche del digitale e allo sfruttamento delle debolezze cognitive degli utenti.
Basta menzionare gli ambiti noti a tutti, che offrono ai dark pattern terreno fertile: e-commerce, cookie banner, app per minori, sottoscrizioni di abbonamenti e via dicendo.
Nelle premesse del documento, l’FTC fa presente che l’utilizzo dei dark pattern è da contrastare e arrestare, quanto prima, in quanto fonte di potenziali danni alle persone (inquadrate solo come “consumatori”, perché è questa la normativa di competenza dell’FTC). Per i danni alle persone, non a caso si è menzionato il prof. Calo che in passato ha contribuito in maniera decisiva a categorizzare i possibili danni personali in ambito privacy.
Danni che non sono affatto astratti: l’FTC prende atto, grazie ai contributi raccolti, che – purtroppo – i dark pattern funzionano, sono sempre più diffusi proprio per la loro efficacia. E sono ancora più efficaci se combinati tra loro, moltiplicando esponenzialmente la loro portata. Rendendo sempre più difficile il loro riconoscimento e inquadramento. Possiamo solo paventare che potrà accadere quando l’Intelligenza Artificiale potrà attuare sofisticati e complicatissimi dark pattern: strumenti “black box”, di cui persino le imprese utilizzatrici potranno ignorare l’attuazione concreta.
Ancor più considerando che – rispetto a contesti differenti – nell’ambiente online il titolare può facilmente sperimentare e provare diverse (nefaste) strategie, a costo quasi zero. Si pensi ai noti A/B test, usati nel marketing, cioè alla sottoposizione a diversi gruppi di utenti di diversi messaggi o comunicazioni, nel nostro caso di diversi pattern.
Verrà poi adottato il pattern risultante più efficace, quello che riesce maggiormente nel suo intento occulto di ingannare a fronte di risultati oggettivi (clic, sottoscrizioni o altri indici di successo). Trattiamo di contesto tecnologico e allora va aggiunto che è soprattutto sui dispositivi mobili che i pattern sono più “dark”, avendo aggio degli schermi ridotti, della disattenzione endemica nella loro consultazione.
Si tratta di attuare una discriminazione lato utenti: è prevedibile siano i soggetti più poveri e vulnerabili, in genere, a utilizzare dispositivi mobili rispetto a quelli fissi.
Non solo, è stato prospettato che in ambiti come quelli di realtà virtuale/aumentata (si pensi al metaverso) i pattern potranno esponenzialmente sommarsi e ancor più pervasivamente impattare sulle persone.
Si afferma, infatti, che tali ambienti “generano un ulteriore potenziale per dark pattern più immersivi e personalizzazioni manipolative, che possono differire in modo significativo dai classici pattern o tecniche di personalizzazione utilizzate fino ad oggi e possono avere profonde implicazioni per il processo decisionale dei consumatori nell’ambiente digitale”.
L’enforcement è un altro punto di preoccupazione dell’agenzia americana: molti consumatori nemmeno si avvedono dell’inganno perpetrato. Si gioca su un piano cognitivo e il bersaglio è la capacità percettiva dell’utente medio in un determinato contesto. E chi se ne accorge spesso nemmeno se ne lamenta, finanche per vergogna o imbarazzo derivanti dal rendersi conto di essere stati raggirati.
Aggiungiamo che non sempre è agevole e “comodo”, per l’utente, segnalare alle autorità eventuali violazioni che siano riscontrate.
L’allegato tassonomico del report
La tassonomia proposta dall’FTC nel report è suddivisa in due livelli: (1) tipologia del pattern, (2) variante che ne incarna una possibile applicazione.
In breve, si possono schematizzare le possibilità come segue (la traduzione è libera del sottoscritto, lette in italiano queste pratiche sembrano fare più effetto che in inglese):
- Riprova sociale (o “social proof”); varianti: messaggi di false attività – testimonianze consumeristiche decettive – supporto decettivo di celebrità – pressione delle relazioni parasociali.
- Scarsità; varianti: falsi messaggi di fine scorte – false indicazioni di molte richieste.
- Urgenza; varianti: falso timer con conto alla rovescia – falso messaggio di tempo limitato – false dichiarazioni di sconto.
- Impedimento; varianti: prevenzione della comparazione dei prezzi – ostacoli alla cancellazione – account immortali.
- Occultamento di informazioni (o “sneaking”); varianti: “sneak-into-basket”(inclusione nascosta nel carrello) – informazioni nascoste – costi nascosti – cambio dei prezzi – sottoscrizione nascosta o continuità forzata – corrispettivo intermedio.
- Interferenza nell’interfaccia; varianti: depistaggio – falsa gerarchia o pressione per l’upselling – annunci mascherati – “bait and switch” (risultato inaspettato).
- Azione forzata; varianti: transazioni non autorizzate – auto-play – assillare – registrazione o iscrizione forzata – forzare al “pay-to-play” – spam da amici, schemi piramidali, accesso alla rubrica.
- Scelta asimmetrica; varianti: domande trabocchetto – vergogna per la conferma – preselezione – sovvertire le preferenze privacy.
Già da una prima lettura si possono ritrovare tanti degli schemi già riportati, a volte con diverse diciture, a volte con le medesime, nelle pluricitate linee guida EDPB. Si può considerare un’utilissima integrazione ed esplicitazione di quel documento.
Resta da aggiungere che vi è un ulteriore allegato al documento, contenente alcuni esempi – con screenshot – delle prassi in parola, come il seguente. Si tratta del caso (2) Scarsità – false indicazioni di molte richieste.
L’esempio del design che “oscura o sovverte le scelte sulla privacy”
Per capire meglio l’approccio dell’FTC, si prenda a esempio la variante (8) Scelte asimmetriche – sovvertire le scelte privacy. In tal caso, nel documento si analizza tale possibilità con vari esempi tratti da casi analizzati dall’FTC.
L’uso di interfacce utente è ritenuto, in tal caso, decettivo quando configura i dark pattern seguenti:
- non consente ai consumatori di rifiutare definitivamente la raccolta o l’utilizzo dei dati;
- richiede ripetutamente ai consumatori di selezionare le impostazioni che desiderano evitare;
- presenta impostazioni confuse che portano i consumatori a fare scelte privacy non intenzionali, non consapevoli;
- oscura intenzionalmente le possibili scelte privacy o le rende di difficile accesso;
- evidenzia una scelta che si traduce in una maggiore raccolta di dati, eliminando nel contempo l’opzione che consente ai consumatori di limitare tale raccolta;
- include impostazioni predefinite che massimizzano la raccolta e la condivisione dei dati.
Si noti, di sfuggita, come tali prassi confliggano anche con i principi privacy ribaditi dal GDPR, coinvolgendo ad es. il principio di minimizzazione, di finalità, di trasparenza eccetera.
Queste pratiche sono insidiose soprattutto quando sfruttano le impostazioni by default, orientate ovviamente a un’indiscriminata raccolta e utilizzo di tanti dati personali. Un esempio è lo smodato utilizzo del numero telefonico – di rado mutato nel tempo da un utente – come identificativo per tracciare e profilare, oppure del dato di geolocalizzazione (che può rivelare in certi casi dati pure di tipo sensibile/particolare).
Tra i casi reali menzionati e sanzionati dall’FTC, si riporta quello del sito armyenlist.com di Sunkey Publishing, ove gli utenti credevano di fornire i propri dati per richiedere informazioni sull’arruolamento militare e, invece, i dati ottenuti venivano – del tutto a insaputa degli utenti – venduti a terzi come dati di profilazione. I terzi in questione erano scuole post-secondarie che poi contattavano gli utenti per proporre corsi, alimentando la falsa impressione che si trattasse di corsi approvati dall’esercito americano.
Il “dark pattern assessment”
L’FTC conclude chiarendo che questa tassonomia è solo indicativa (ecco perché è difficile che sia mai incorporata direttamente in una norma, quanto più facilmente in linee guida di indirizzo delle autorità, facilmente aggiornabili), molti altri dark pattern sono possibili.
Le imprese dovrebbero valutare il proprio design, le proprie interfacce utente dal punto di vista del consumatore e ponderare se un’altra opzione possa aumentare la probabilità che la scelta effettiva, nell’interesse di un consumatore, venga attuata e rispettata.
Potremmo inquadrare questo processo (sebbene non sia una terminologia usata dall’ente americano) come una sorta di “dark pattern assessment”, esattamente quel che scaturiva alla fine dalla lettura del documento EDPB sulle stesse criticità.
In conclusione, è evidente che sia in Europa che negli USA il livello di tutela dei consumatori si stia elevando e le imprese dovranno prestare sempre maggiore attenzione a questi aspetti che – magari attuati inconsapevolmente perché implementati da terzi fornitori – non possono più essere trascurati. Vuoi per la maggiore attenzione sanzionatoria delle autorità, vuoi per la dovuta maggior tutela nell’ambiente digitale.
Un ambiente dove è sempre più evidente la particolare fragilità dell’umano, ospite di logiche non proprio umane.
Una sfida per il presente e per il futuro, che possiamo dire coinvolge l’etica nel digitale, non appannaggio solo delle discussioni sull’IA pur importantissime, ma che si innerva nel quotidiano. Si chiamava buona fede.
