Nelle ultime due settimane sono state presentate alla corte federale di San Francisco, da parte di alcuni gruppi di utenti iOS, due proposte di class action volta ad accertare la violazione, da parte di Meta, delle policy anti-tracciamento introdotte da Apple mediante il servizio App Tracking Transparency, che richiede a tutte le app di terze parti di ottenere il consenso degli utenti prima di tracciare le loro attività, online o offline, e la conseguente violazione delle leggi statali e federali statunitensi, le quali limitano la raccolta non autorizzata di dati personali. In particolare, si lamenta la violazione del Wiretap Act e dell’Invasion of Privacy Act.
L’introduzione dell’App Tracking Transparency, infatti, avrebbe comportato una riduzione rilevante delle entrate derivanti dall’advertising digitale (sebbene abbia lasciato impregiudicata l’influenza nel mercato della società): per tale ragione, Meta avrebbe escogitato un modo per bypassare i sistemi anti-tracciamento di iOS, come l’eliminazione del tracciamento tra host, e rilevare ugualmente le attività degli utenti sul web, tramite il ricorso a metodi di tracciamento alternativi collocati su siti web di terze parti.
Detta circostanza sarebbe emersa da un rapporto del ricercatore Felix Krause, ex ingegnere di Google, il quale ha affermato che le app Facebook e Instagram per iOS inseriscono del codice JavaScript all’interno dei siti web visitati dagli utenti, consentendo alle app medesime di tracciare “tutto ciò che fai su qualsiasi sito Web”, inclusa la digitazione delle password.
iOS 16 e protezione dei dati personali: Apple alza ancora l’asticella per la tutela della privacy
Indice degli argomenti
Come funzione l’App Tracking Transparency
Preliminarmente, appare opportuno rendere una sintetica spiegazione circa le modalità di funzionamento del sistema introdotto da Apple a tutela della privacy dei propri utenti.
Apple, infatti, assegna un identificatore univoco al dispositivo: detto dato sarà il solo che il sito Web potrà visualizzare mentre l’utente naviga sul web. Le aziende terze, dunque, potranno destinare determinati ads all’utente, facendo uso esclusivamente del suo codice univoco, e determinare se, dopo aver mostrato l’annuncio, l’utente è andato effettivamente sul sito web sponsorizzato ad acquistare il prodotto.
Con App Tracking Transparency, gli sviluppatori di app devono chiedere ai propri utenti se desiderino consentire o meno un simile tracciamento. Ove l’utente neghi il proprio consenso (come succede nella maggior parte dei casi), le app non saranno autorizzate ad utilizzare l’identificativo univoco per tracciare le attività sul web. Ne consegue che gli ads pubblicitari saranno molto meno efficaci, non potendo individuare correttamente la platea di riferimento, e meno redditizi.
Ciò non impediva, tuttavia, agli sviluppatori di terze parti di tracciare l’attività degli utenti mediante browser in-app: sebbene si trattasse di un rischio esclusivamente teorico, sembrerebbe che Meta abbia sfruttato detta lacuna del sistema per rimediare al diniego al tracciamento reso dagli utenti Apple.
La presunta violazione privacy su iOS
Come anticipato in premessa, il ricercatore Felix Krause, svolgendo delle indagini sulle applicazioni iOS di Meta, ha scoperto che la stessa, nonostante le limitazioni imposte da Apple, continua a tracciare i suoi utenti, bypassando le impostazioni sulla privacy, che restano invece valide per tutte le altre app installate sul dispositivo.
Nel rapporto, pubblicato in agosto e titolato “iOS Privacy: Instagram and Facebook can Track Anything you do on any Website in their In-App Browser” Krause esamina nel dettaglio le modalità tramite cui avviene il tracciamento: quando si carica una pagina internet, infatti, Facebook e Instagram reindirizzano direttamente al sito Web in questione tramite un browser in-app sviluppato dalla medesima Meta, in luogo di Web Browser come Safari.
Utilizzando il browser in-app, Meta sarebbe dunque in grado di “iniettare” codice JavaScript nei siti web: “Costruire il tuo browser in-app”, si legge nel report, “richiede un tempo non banale per la programmazione e la manutenzione, molto più del semplice utilizzo della privacy e dell’alternativa user-friendly che è già stata integrata nell’iPhone negli ultimi sette anni”.
“L’app Instagram inietta il loro codice di monitoraggio in ogni sito Web mostrato, anche quando si fa clic sugli annunci, consentendo loro di monitorare tutte le interazioni dell’utente, come ogni pulsante e link toccato, selezioni di testo, schermate e qualsiasi input di modulo, come password, indirizzi e numeri di carte di credito”, ha affermato Krause in un post.
Nell’ipotesi più estrema, ciò consentirebbe a Meta di monitorare tutte le interazioni degli utenti, incluso ogni pulsante e collegamento toccato, selezioni di testo, schermate e qualsiasi input di moduli, come password, indirizzi e numeri di carta di credito. Tuttavia, Kraus non suggerisce che Meta stia attuando una politica di tal genere, non avendo sufficienti elementi che consentissero di verificare la tipologia di dati che l’azienda stava estraendo, ma avendo solo la prova che le app di Instagram e Facebook eseguono attivamente comandi JavaScript per “iniettare” un codice aggiuntivo senza il consenso dell’utente, oltre che per tenere traccia delle selezioni di testo dell’utente.
Krause ha osservato, a tal riguardo, che Facebook non utilizza necessariamente l’iniezione Javascript per raccogliere dati sensibili. Tuttavia, se le app aprissero il browser preferito dagli utenti come Safari o Firefox, non ci sarebbe modo di fare un’iniezione Javascript simile su qualsiasi sito sicuro. Al contrario, l’approccio utilizzato dai browser in-app di Instagram e Facebook “funziona per qualsiasi sito Web, indipendentemente dal fatto che sia crittografato o meno”, ha affermato.
Le motivazioni dietro tale scelta sarebbero legate al mercato degli ads digitali: per Meta, al pari di Google, la maggior parte delle entrate deriva dalla pubblicità online (nel primo trimestre del 2021, l’87,2% delle entrate totali di Meta proveniva dalla pubblicità); tuttavia, non potendo fare affidamento su un sistema operativo mobile o su un motore di ricerca proprietario, l’introduzione dell’App Tracking Transparency ha comportato una riduzione delle entrate a livello globale nel secondo semestre del 2022. Tant’è che Meta prevede di perdere 10 miliardi di dollari di entrate pubblicitarie nel 2022 a causa dei cambiamenti introdotti da Apple.
La contrazione dei ricavi conseguente all’introduzione dell’App Tracking Transparency e al calo del prezzo delle azioni, avrebbe addirittura portato Meta ad avviare operazioni di licenziamento per ridurre le spese operative e mantenere una marginalità adeguata.
Le accuse mosse dagli utenti iOS
Sulla scorta di quanto emerso dal rapporto di Krause, sono state intentate le class action di cui si discute. Promotore della prima class action è la californiana Wayne Mitchell, mentre la seconda e più recente class action è stata promossa dalla californiana Gabriele Willis e dalla louisiana Kerreisha Davis. Entrambi i casi di class action, ad ogni modo, coinvolgono chiunque abbia un account Facebook attivo e abbia visitato un sito Web esterno di terze parti sul browser in-app di Facebook negli Stati Uniti.
Gli utenti lamentano, come detto, il fatto che Meta abbia rintracciato e intercettato le loro attività online e le comunicazioni private con siti Web di terze parti a loro insaputa, senza che fosse stato fornito un consenso specifico, oltre che in violazione delle policy sui dati personali di Apple. I contendenti affermano, altresì, che Meta non avrebbe neppure reso nota l’attività di tracciamento all’interno della sezione dedicata della app di Facebook.
“Meta non rivela le conseguenze della ricerca, della navigazione e della comunicazione con siti Web di terze parti dal browser in-app di Facebook, in particolare, ciò sovrascrive le impostazioni sulla privacy del browser predefinito, su cui gli utenti fanno affidamento per bloccare e impedire il tracciamento”, si legge negli atti di causa. “Allo stesso modo, Meta nasconde il fatto che inietta JavaScript che altera i siti Web di terze parti esterni in modo che possa intercettare, tracciare e registrare dati a cui altrimenti non potrebbe accedere”.
“Ciò consente a Meta di intercettare, monitorare e registrare le interazioni e le comunicazioni dei suoi utenti con terze parti, fornendo dati a Meta che aggrega, analizza e utilizza per aumentare i propri ricavi pubblicitari”, proseguono gli utenti.
In risposta alle accuse formulate nei suoi confronti, Meta, per il tramite di un suo portavoce, ha riferito a Bloomberg di non aver violato la normativa sulla tutela dei dati personali mediante le proprie condotte, pur riconoscendo che l’app Facebook monitora l’attività del browser: “Queste accuse sono prive di fondamento e ci difenderemo energicamente. Abbiamo progettato il nostro browser in-app per rispettare le scelte sulla privacy degli utenti, incluso il modo in cui i dati possono essere utilizzati per gli annunci”, ha affermato la società in una dichiarazione inviata via email alla testata.
Meta ha affermato, inoltre, che il codice di monitoraggio iniettato ha obbedito alle preferenze degli utenti su ATT. “Il codice ci consente di aggregare i dati degli utenti prima di utilizzarli per scopi pubblicitari o di misurazione mirati”, ha detto un portavoce al The Guardian. “Il codice viene iniettato in modo da poter aggregare gli eventi di conversione dai pixel. Per gli acquisti effettuati tramite il browser in-app, chiediamo il consenso dell’utente per salvare le informazioni di pagamento ai fini della compilazione automatica”.
Ad ogni modo, ove dovesse essere accertata la fondatezza delle accuse mosse nei confronti di Meta, gli utenti che rispettano i requisiti della class action avranno diritto ad un risarcimento di $ 10.000 oppure a 100 dollari al giorno, per ogni giorno in cui si è verificata una violazione ai sensi Wiretap Act, oltre a 5.000 dollari di spese legali ai sensi del California Invasion of Privacy Act (CIPA).
Tale circostanza avrebbe serie conseguenze per Meta, già destinataria, nel solo 2022, di sanzioni per oltre 100 milioni di dollari da parte delle Autorità sudcoreane, francesi e irlandesi, per violazione della normativa sulla tutela dei dati personali.
