Justin Schuh direttore tecnico di Chrome Engineering di Google in un post sul blog del 14 gennaio scorso, ribadito anche su Twitter, ha annunciato che Chrome rimuoverà nel corso dei prossimi due anni il supporto ai cookie di terze parti e “congelerà” le stringhe User Agent.
La prima tappa dovrebbe prevedere che, dal mese prossimo, il tracking non sicuro tra un sito e l’altro verrà limitato: i cookie che non includono un tag SameSite potranno essere solo first-party, e i cookie di terze parti dovranno obbligatoriamente usare HTTPS.
L’annuncio fa parte della nota iniziativa di Google, Privacy Sandbox palesata ad agosto 2019 e volta, secondo le intenzioni dichiarate, “a sviluppare una serie di standard aperti per migliorare in maniera incisiva la protezione dei dati personali in rete, con l’obiettivo di rendere il Web più sicuro e “privato” per gli utenti”.
“Gli utenti richiedono maggiore privacy, tra cui trasparenza, possibilità di scelta e controllo sull’utilizzo dei propri dati, ed è chiaro che l’ecosistema Web deve evolversi per soddisfare queste crescenti esigenze”, ha affermato Schuh che per raggiungere l’obiettivo conta anche sulla collaborazione della Comunità web, il World Wide Web Consortium, anche conosciuto come W3C, ovvero, l’organizzazione non governativa internazionale che ha come scopo quello di sviluppare tutte le potenzialità del World Wide Web: “Dopo il dialogo iniziale con la comunità Web, siamo certi che con iterazioni e feedback continui, la tutela della privacy e meccanismi di standard aperti come Privacy Sandbox possono sostenere una rete sana e supportata da annunci pubblicitari in modo da rendere i cookie di terze parti obsoleto”.
“E la nostra esperienza di collaborazione con la comunità degli standard per la creazione di alternative e l’eliminazione graduale di Flash e NPAPI ha dimostrato che possiamo unirci per risolvere sfide complesse”.
L’annuncio è recente ma l’idea non è nuova per Google che, già nel 2013, stava prendendo in considerazione un nuovo modo per aiutare gli inserzionisti a rintracciare le persone sul Web e consolidare la propria potenza nel settore.
Esattamente il 17 settembre 2013 Usa Today riportava la notizia secondo cui Google stava sviluppando un identificatore anonimo per la pubblicità, o AdID, in sostituzione dei cookie di terze parti. Di che si tratta? Gli AdID, cioè gli identificatori anonimi, sono stringhe di caratteri casuali utilizzate per gli stessi scopi dei cookie, ma su piattaforme che non supportano la tecnologia dei cookie come i dispositivi mobili.
Indice degli argomenti
Le prime reazioni
La community del web, malgrado le ampie aspettative di Schuh, almeno per ora, non pare avergli dedicato particolare attenzione: in un’intervista telefonica con The Register, Bennett Cyphers, un ingegnere nel team di Tech Projects di Electronic Frontier Foundation, dove lavora su Privacy Badger e HTTPS Everywhere, ha confermato che W3C non ha mostrato grande interesse alle proposte di Google.
“Quando hanno annunciato Privacy Sandbox lo scorso autunno, hanno lanciato un sacco di codice su GitHub. Quei repository non mostrano segni di coinvolgimento”, riferisce.
L’utente Twitter ocdtrekkie, un “appassionato di privacy” auto-dichiarato che preferisce restare anonimo ha esplicitamente contrastato la visione di Schuh di “una sana rete supportata da pubblicità”, twittando “Non è quello che vogliamo. In realtà vogliamo uccidere il web ad-supported e gli incubi adtech costruiti su di esso”.
Per molti, editori e inserzionisti, l’annuncio di Schuh in linea con quanto già in atto su altri browser concorrenti, come Firefox, Brave, Safari, ha costituito l’ennesimo passaggio di quella che definiscono una “cookie-pocalypse”.
Per altri nel settore dei media digitali e del marketing digitale, invece, rappresenta più una nuova alba del business multimiliardario legato all’industria pubblicitaria globale ormai proiettata verso un percorso illuminato dalle infinite praterie digitali non tutte meritevoli di approvazione.
Per ora, gli editori non possono che stare a guardare e attendere maggiori dettagli in merito a quali saranno le soluzioni alternative proposte, sempre sperando che le promesse di Google vengano mantenute.
Lee Tien, procuratore senior presso l’EFF, ha dichiarato in una e-mail che benché Google possa essere influente nella community del web come in W3C, ciò non significa che otterrà necessariamente ciò che vuole. Uno dei punti deboli del piano di Google, sembrerebbe essere proprio la vaghezza che contraddistingue la fattibilità tecnica delle corrispondenti affermazioni solo tecnicamente plausibili.
John Bergmayer, avvocato del gruppo di consumatori Public Knowledge, dichiara a Motherboard che l’annuncio della società è stato stranamente leggero sui “nuovi dettagli”.
Non esiste una piattaforma o un codice reale che gli esperti di marketing possano valutare correttamente.
“Con le modifiche che Google Chrome ha annunciato all’inizio di questa settimana con Privacy Sandbox, resta da vedere come tratterà le sue soluzioni di marketing come AdWords e DV360″, ha affermato Rajeev Goel, CEO del fornitore di tecnologia pubblicitaria PubMatic. “Avranno le stesse restrizioni del resto dell’ecosistema o le soluzioni di marketing di Google avranno un accesso speciale agli utenti riservati solo a sé stesso”.
Le associazioni di consumatori e gli esperti di “privacy” oscillano tra posizioni divergenti ma in prevalenza si dichiarano scettici e dubitano delle reali intenzioni di Google, ritenendolo non particolarmente adatto a guidare il processo digitale verso una maggiore attenzione per la protezione dei dati personali e con essa dei diritti e libertà degli individui.
“Stanno cercando di camminare sul filo del rasoio in modo da non essere accusati di abusi antitrust” – sostiene Dimitrios Katsifis, associato presso Geradin Partners.
Effettivamente la pubblicità display online (ovvero il banner nella parte superiore della pagina di un giornale che promuove un nuovo modello di auto o un video che promuove un nuovo film di successo) rappresenta una grande fonte di entrate per gli editori online ma è un terreno caratterizzato da un alto grado di opacità e alcuni dei suoi segmenti sembrano essere dominati proprio da Google.
Google controlla i due terzi del mercato della ricerca. Gestisce di gran lunga la più grande rete pubblicitaria.
La sua unità DoubleClick è il più grande fornitore di tecnologia pubblicitaria per editori e inserzionisti. La sua barra degli strumenti è installata in molti browser. E Google Analytics sta raccogliendo informazioni da milioni di siti Web.
“Le persone non sono servite bene quando un’entità ha una roccaforte sui dati degli utenti o il dominio su una particolare piattaforma”, ha affermato Denelle Dixon, direttore operativo di Mozilla Corporation, concorrente di Google in alcuni servizi online. Tale approccio, ha continuato, “rischia di influenzare le “dinamiche competitive” online”.
“II divieto dei cookie di terze parti” ha affermato Angela Mills Wade, direttore esecutivo del Consiglio degli editori europei “consente a Google di controllare il proprio giardino recintato super dominante“.
Non deve meravigliare perciò che diversi comportamenti di Google potrebbero produrre effetti di sfruttamento ed esclusione in violazione dell’articolo 102 TFUE (sezione B). Alcuni di questi effetti, peraltro, sono già stati notoriamente attenzionati: l’autorità francese antitrust, a fine dicembre 2019, ha inflitto a Google una multa di 150 milioni di euro per abuso della posizione dominante. Ma altrettanti potrebbero costituire facile terreno di caccia per le competenti Authority, specie alla stregua dell’attuale contesto normativo, sempre più caratterizzato da una forma di “immanenza sostanziale” delle tutele giuridiche nell’era digitale.
E, tramite Twitter, anche Alex Stamos, ex Chief Security Officer di Facebook prima di passare al mondo accademico, ha salutato in maniera piuttosto “ironica” l’aggiornamento di Schuh.
Il contestuale annuncio delle falle di sicurezza in Safari
Curioso come l’annuncio del Direttore tecnico di Chrome Engineering Schuh preceda di poco la notizia enfatizzata sempre dal medesimo Schuh relativa alla scoperta, da parte di un gruppo di ricercatori di Google di una serie di falle nel sistema anti tracciamento utenti di Safari in grado di consentire l’identificazione dei singoli utenti sul web.
“Safari introduce problemi di privacy più grossi di quelli che dovrebbe mitigare” chiosa Schuh.
L’Intelligent Tracking Prevention di Safari, ovvero quella funzione del browser di Apple pensata proprio per prevenire il tracciamento degli utenti mentre navigano su internet, per una errata implementazione avrebbe potuto causare il tracciamento degli utenti attraverso la cronologia delle pagine web visitate.
Non solo: partendo dall’elenco di siti e da quella che viene definita “prevalent domain list”, ovvero l’elenco dei siti che secondo Safari l’utente visita più di frequente, sarebbe stato possibile creare un fingerprint dei singoli utenti, ovvero una sorta di pseudo firme digitali, da sfruttare per seguirne i movimenti sul web.
La scoperta, in realtà, è stata anticipata dal Financial Times e ora il report di sicurezza è pubblico e liberamente accessibile.
Non proprio una settimana facile per Apple, considerati anche i “problemini” con l’iPhone X di Jeff Bezos.
Gli altri browser su profilazione e advertising on line
Firefox, Safari, e anche il nuovo Edge di Microsoft, hanno nel tempo avviato operazioni del medesimo tenore, bloccando la raccolta di cookie di terze parti.
Con la versione 69.0, Firefox ha stabilito come modalità predefinita il blocco di tutti i cookie di terze parti e di tutte le eventuali attività di cryptomining. La funzione si chiama “enhanced tracking protection” ed è praticamente invisibile all’utente, che si accorge del suo funzionamento solo quando visita un sito e vede l’icona di uno scudo nella barra degli indirizzi accanto all’URL, insieme a una piccola icona ‘i’ a dimostrazione che Firefox “sta bloccando l’accesso di migliaia di società alle sue attività online”.
Safari ha limitato il monitoraggio dei cookie dal 2017 con il lancio di Safari 11. L’Intelligent Tracking Prevention (ITP) dell’azienda (lo stesso oggetto delle vulnerabilità rilevate dai tecnici Google) utilizza algoritmi di apprendimento automatico per identificare i comportamenti di tracciamento, come i cookie persistenti provenienti da reti pubblicitarie di terze parti.
Edge, nella sua nuova versione, prevede tre profili preimpostati in base ai permessi concessi: “Di base”, “Bilanciato” e “Rigido”. Profili non modificabili, ma che è possibile visualizzare e personalizzare creando delle eccezioni. Le autorizzazioni concesse ai siti, come le notifiche ma anche i cookie di terze parti, sono incluse in una scheda delle impostazioni dedicata, che comprende anche il controllo del microfono e della fotocamera, e la possibilità di essere avvisati se un sito desidera accedere al testo e alle immagini copiati negli appunti.
La “Privacy Sandbox” di Google
Chrome arriva per ultimo tra i browser ma la sua quota di mercato globale è più di tre volte superiore a circa il 64%, secondo la società di monitoraggio Statcounter, ed il suo approccio non va esattamente nella direzione del blocco repentino dei cookie, ritenuto anzi controproducente poichè abilitatore di tecniche opache come l’impronta digitale cd fingerprint, ma in quella del loro “rinnovamento”.
“Alcuni browser hanno reagito a queste preoccupazioni [sulla privacy] bloccando i cookie di terze parti, ma riteniamo che ciò abbia conseguenze indesiderate che possono avere un impatto negativo sia sugli utenti che sull’ecosistema web”, ha scritto Schuh.
L’idea è quella di inglobare gradualmente la gestione dei cookie all’interno della di una “Privacy Sandbox”, una nuova area all’interno della quale ogni singolo utente potrà gestire la condivisione dei suoi dati personali online.
Gli analisti finanziari prevedono un effetto minimo sull’attività pubblicitaria propria di Google che, infatti, raccoglie dati sugli utenti in molti altri modi. Al contrario, le azioni di alcune società di software pubblicitarie rivali sono scese martedì, tra cui Criteo SA dell’8% e Trade Desk Inc dell’1,4%.
Il progetto sandbox di Google utilizzerà l’apprendimento automatico basato su browser e altre tecnologie per pubblicare annunci mirati senza il tracciamento dettagliato dell’utente tramite cookie.
La stringa User-Agent non verrà rimossa drasticamente ma dovrebbe essere sostituita gradualmente con una molto generica che rivela poche informazioni.
Un’operazione dunque a più fasi che durerà probabilmente diversi mesi. Dal blog aziendale è possibile apprendere il Piano di implementazione delle mitigazioni annunciate:
- Marzo 2020: Chrome Web Store smetterà di accettare nuove app di Chrome. Gli sviluppatori saranno in grado di aggiornare le app di Chrome esistenti fino a giugno 2022.
- Giugno 2020: interruzione del supporto per le app di Chrome su Windows, Mac e Linux. I clienti che hanno Chrome Enterprise e Chrome Education Upgrade avranno accesso ad un’informativa per estendere il supporto fino a dicembre 2020.
- Dicembre 2020: interruzione del supporto per le app di Chrome su Windows, Mac e Linux.
- Giugno 2021: fine del supporto per le API NaCl, PNaCl e PPAPI.
- Giugno 2021: interruzione del supporto per le app di Chrome su Chrome OS. I clienti che hanno Chrome Enterprise e Chrome Education Upgrade avranno accesso a un’informativa per estendere il supporto fino a giugno 2022.
- Giugno 2022: termina il supporto per le app di Chrome su Chrome OS per tutti i clienti.
Più nel dettaglio:
- Chrome 81(marzo 2020): non sarà più sviluppato l’accesso a navigator.userAgent.
- Chrome 83 (giugno 2020): la versione del browser sarà congelata e le versioni dell’OS saranno unificate.
- Chrome 85 (settembre 2020): la stringa dell’OS desktop sarà unificata come valore comune per i browser desktop. Lo stesso varrà per mobile (con una possibile distinzione per le dimensioni dello schermo del dispositivo).
La necessità di adattare i contenuti di una pagina a un determinato browser/sistema operativo continuerà a rimanere presente, ma al posto della stringa User-Agent, come già detto, si impiegherà un tool più evoluto, chiamato UA-CH (User Agent Client Hints). Tra i vantaggi principali, UA-CH segnalati:
- fornisce informazioni solo quando vengono richieste dal server, e solo attraverso connessioni sicure. In questo modo, le eventuali attività di fingerprinting potrebbero essere facilmente individuate.
- fornisce solo le informazioni specifiche che il server richiede, quando le richiede.
- siccome ogni informazione è in campi dedicati, è più difficile che vengano mal interpretate dal server – riducendo quindi il rischio di problemi di compatibilità.
- c’è l’occasione di fare pulizia di molti degli User-Agent classici ormai obsoleti, come “Mozilla/5.0” o “like Gecko”, che ad oggi creano solo confusione.
In termini semplici, queste proposte “sfrutteranno” una sandbox del browser, non accessibile all’inserzionista, per archiviare segnali come clic o conversioni e misurare rigorosamente tali segnali in modo da rendere anonimo l’utente. Il segnale diretto dal browser dell’utente al cloud di tecnologia pubblicitaria / di marketing verrà interrotto mentre il browser eseguirà alcune misure di limitazione, offuscamento e anonimizzazione prima che i dati vengano restituiti.
Ad esempio: i clic vengono registrati dagli annunci e associati a un’inserzionista; gli eventi di conversione vengono generati dal browser, ma in entrambi i casi senza cookie. L’attribuzione della conversione viene quindi effettuata dalla sandbox del browser e segnalata all’inserzionista in un batch, in modo tale che il singolo utente sia difficile o impossibile da isolare, con metadati limitati sull’origine dei clic.
Il quadro regolatorio attuale
La legislazione europea regolamenta i cookie in maniera specifica, anche se non solo, con la direttiva comunitaria 2009/136/CE (ePrivacy). E, negli ultimi tre anni, le violazioni dei dati e le nuove leggi sulla privacy in California e in Europa, GDPR in primis, hanno comportato diversi cambiamenti nelle attività di Internet. La stessa Direttiva ePrivacy è destinata ad essere ulteriormente modificata a mezzo di un Regolamento (quindi immediatamente applicabile nei paesi membri) che per ora però stenta a prendere forma.
Contemporaneamente all’avvio della riforma della privacy europea, anche negli Usa è partito un discorso di riorganizzazione della regolamentazione dei cookie e in generale della privacy e questo, in gran parte e salvo eccezioni, si sta muovendo nella direzione di una spinta all’autoregolamentazione da parte delle aziende private, piuttosto che di un’organica normativa di stampo federale. La realizzazione di uno standard comune denominato Do not track (DNT), cioè la previsione di un segnale che l’utente avrebbe potuto impostare sul browser così indicando al sito di non tracciarlo (e quindi di non depositare cookie) si è rivelata però una mission destinata a naufragare.
Di fatto, dalla metà degli anni ’90, il cookie è stato utilizzato per tracciare il comportamento online: i siti Web hanno utilizzato i propri cookie proprietari per migliorare l’esperienza di visita del sito, ad esempio memorizzando i dati di accesso o salvando gli articoli nel carrello. Mentre i cookie di terze parti “hanno servito” tutto il settore per scopi, non sempre legittimi, di tracciamento e microtargeting specie attraverso i social web. Il settore pubblicitario è diventato fortemente dipendente dai cookie per attivare e valutare campagne promozionali online.
Le campagne politiche, non solo negli Stati Uniti, hanno utilizzato tecnologie digitali per più di un decennio, sviluppando strumenti e tecniche sempre più sofisticati durante ogni ciclo elettorale e le cosiddette “politiche computazionali” sono diventate procedure operative standard. Le elezioni più recenti hanno addirittura segnato una svolta cruciale, poiché i candidati, i comitati di azione politica e altri gruppi di interesse sono stati in grado di trarre vantaggio da importanti scoperte nelle tecniche di marketing basate sui dati, come il targeting cross-device.
È certo, oltre ai profili di tenuta del principio di libera concorrenza, e repressione dell’abuso di posizione dominante, proprio l’invasività dei cookie, specie per le applicazioni tecnologiche da essi derivanti, pone, in ottica di sostanziale immanenza delle tutele, anche un serio problema di rispetto dei diritti e delle libertà fondamentali, sul quale molti regolatori e autorità si stanno dando molto da fare. In particolare, attraverso lo “strumento” offerto dagli standard globali di protezione dei dati personali: dall’introduzione del GDPR, alla revisione della Direttiva ePrivacy (un parto difficile a quanto pare), all’entrata in vigore del CCPA californiano, fino alle recenti leggi di protezione dei dati introdotte in molti Paesi a occidente come ad oriente, Corea del Sud e India che, nella primavera di quest’anno, potrebbe adottare una corposa legge sulla privacy.
Il 14 gennaio 2020, l’autorità francese per la protezione dei dati (CNIL) ha avviato una consultazione pubblica sui suoi progetti di raccomandazioni per la raccolta del consenso nel contesto dei cookie e di altre tecnologie di tracciamento. La consultazione durerà fino al 25 febbraio 2020, dopodiché una versione aggiornata del progetto di Raccomandazioni sarà presentata ai membri del CNIL per l’adozione definitiva.
Conclusioni
La tecnologia continuerà a definire il settore dei media nel 2020, creando opportunità ma anche nuove sfide per i legislatori come per gli operatori del settore e per i marketer.
Questi ultimi in particolare, saranno coinvolti in una sorta di rinascimento dell’engagement nel mondo reale: dovranno sviluppare competenze, programmare sistemi con i quali misurare l’audience e l’efficacia di una data campagna pubblicitaria, a prescindere dall’utilizzo dei cookie, e che siano in grado di coinvolgere nel modo più efficace possibile i consumatori. Ciò in un momento di grande trasformazione del settore dei media. Sempre senza violare la fiducia e le norme sulla protezione dei dati.
Gli inserzionisti dovranno inventarsi metodi di misurazione alternativi a quelli offerti dai cookie, ormai obsoleti, esponendosi “arditamente” (e ci auguriamo coscienziosamente) alle infinite praterie dello sviluppo tecnologico per tracciare e così “monetizzare” ogni momento della giornata degli utenti.
Una sorta di paradosso del digitale: mentre i canali media emergenti creeranno nuove opportunità, la marea di touchpoint digitali renderà ancora più difficile il contatto con i consumatori.
Andy Chandler, VP di Adjust per il Regno Unito e l’Irlanda, parlando ad un panel all’evento The Drum’s Predictions 2020 a Sea Containers ha chiesto ai marchi di evolversi nel mondo post-cookie e iniziare a capire se stanno davvero aggiungendo valore a la vita dei loro clienti.
“Con Google Chrome che elimina i cookie di terze parti, i marchi devono iniziare a guardare i dati in modo diverso o rimarranno molto rapidamente indietro”, ha spiegato. “Stiamo entrando in un mondo senza cookie, in cui i consumatori interagiscono più con le app che con i browser, quindi il modo in cui misuriamo i dati deve riflettere ciò. Dobbiamo continuare a evolvere e stare al passo con le persone, assicurandoci di aggiungere un valore reale alla loro vita“.
Sebbene le modifiche di Google possano essere ben intenzionate e utili in qualche modo, è chiaro che eliminare i cookie di terze parti è solo un primo passo verso la correzione di ciò che affligge il WEB moderno. Per quanto riguarda in particolare l’impegno di Google, il diavolo, come sempre, sarà nei dettagli.
E sì, anche in Europa, non sarebbe male se portassimo a compimento il processo di revisione delle “regole” per renderle adeguate al contesto in atto. Con il parere 03/2018, l’EDPS e il compianto Giovanni Buttarelli, allora Garante europeo della protezione dei dati, ne hanno già ribadito l’importanza chiedendo maggiore collaborazione tra le autorità di protezione dei dati e altri organismi di regolamentazione, al fine di tutelare i diritti e gli interessi dei singoli nella società digitale.