La ricerca delle impostazioni privacy sui siti Web è ancora ostacolata dall’uso di troppi cookie illegittimi e dark pattern, i cosiddetti “percorsi ingannevoli” che inducono gli utenti a effettuare scelte che non tutelano la protezione dei loro dati personali e che, invece, giocano a favore delle piattaforme online.
È quanto si evince dai risultati dell’indagine che il Garante privacy italiano ha condotto nell’ambito dell’annuale Global Privacy Enforcement Network (GPEN) Sweep, l’iniziativa internazionale durante la quale 26 Autorità di controllo della privacy di tutto il mondo hanno analizzato il fenomeno del dark pattern, cioè appunto i modelli di design ingannevole noti anche come Deceptive patterns.
Indice degli argomenti
Dark pattern e cookie illegittimi: l’indagine del Garante
In particolare, l’indagine condotta dal nostro Garante privacy ha analizzato 50 siti web di “comparatori” di servizi e prodotti, focalizzandosi sui banner dei cookie e sulle modalità di cancellazione degli account utente.
In oltre il 60% dei casi, i banner enfatizzavano maggiormente l’opzione meno favorevole per la privacy degli utenti. In quasi il 40% dei casi, per rifiutare i cookie, era necessario un numero elevato di passaggi, mentre in circa il 30% dei casi, l’unica opzione disponibile era l’accettazione di tutti i cookie.
La cancellazione degli account utente sui siti esaminati presentava spesso difficoltà significative, come l’assenza di una funzionalità dedicata, un numero eccessivo di clic necessari per completare il processo, richieste di informazioni personali e l’uso di un linguaggio dissuasivo.
L’analisi ha sottolineato anche l’importanza per gli utenti di avere un accesso semplice alla privacy policy. Tuttavia, spesso manca un indice automatizzato degli argomenti che potrebbe migliorare notevolmente la fruibilità delle informative.
Lo scopo della Privacy Sweep
Come dicevamo, l’indagine del Garante privacy sull’uso dei dark pattern è stata condotta nell’ambito del Global Privacy Enforcement Network (GPEN) Sweep che quest’anno, per la prima volta, è stata condotta in collaborazione con l’International Consumer Protection and Enforcement Network (ICPEN), l’organismo che rappresenta le autorità di tutela dei consumatori.
Questa partnership evidenzia la crescente convergenza tra la protezione della privacy e altre normative.
Nel contesto dei modelli di progettazione ingannevoli, sia gli esperti di protezione dei dati sia quelli di tutela dei consumatori hanno rilevato che molti siti web e app adottano tecniche che ostacolano la capacità degli individui di fare scelte informate per tutelare al meglio la loro privacy e i loro diritti come consumatori.
I dark pattern non sono del tutto illegali nei confronti degli utenti o disutili per le società che le implementano, ma ci sono dei limiti ben precisi che, nel contesto della conformità alla protezione dei dati, sono rappresentati dai principi fondamentali stabiliti dall’articolo 5 del GDPR: liceità, correttezza e trasparenza.
È applicando tali principi generali che, ad esempio, il Garante privacy irlandese ha irrogato una sanzione pari a 345 milioni di euro alla piattaforma cinese TikTok ritenuta responsabile per aver spinto i bambini verso impostazioni che compromettono la privacy utilizzando testo in grassetto in due notifiche pop-up, ostacolando scelte neutrali e obiettive.
Cosa sono e a cosa servono i dark pattern
Con il termine dark pattern ci si riferisce a interfacce e percorsi utente implementati che cercano di influenzare gli utenti a prendere decisioni non intenzionali, non volute e potenzialmente dannose, spesso orientate verso scelte contrarie ai migliori interessi degli utenti e favorevoli agli interessi delle piattaforme, in merito al trattamento dei loro dati personali.
In altri termini, sono trucchi utilizzati nei siti web e nelle app per far compiere azioni non volute, come acquistare o iscriversi a qualche servizio.
Ecco qualche esempio per cercare di capire il fenomeno:
- Fake Scarcity. L’utente è spinto a completare un’azione perché viene presentata un’indicazione probabilmente falsa di scarsa disponibilità.
- Fake Social Proof. L’utente è indotto a credere che un prodotto sia più popolare o credibile di quanto non sia realmente, perché gli sono mostrate recensioni, testimonianze o messaggi di attività falsi.
- Fake Urgency. L’utente è pressato a completare un’azione perché gli viene presentata una falsa limitazione di tempo.
- Sneaking. L’utente viene attirato in una transazione con false premesse, perché le informazioni pertinenti sono nascoste o ritardate nella loro presentazione.
L’EDPB, nelle linee guida dedicate al tema dei dark pattern (Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them), ne individua alte quattro:
- l’overloading si riferisce alla situazione in cui gli utenti sono sommersi da una grande quantità di richieste, informazioni, opzioni o possibilità, con l’obiettivo di indurli a condividere più dati o consentire inconsapevolmente il trattamento dei loro dati personali, contrariamente alle aspettative degli interessati. I seguenti tre tipi di modelli di progettazione ingannevoli rientrano in questa categoria: Continuous Prompting (richieste continue), Privacy Maze (labirinto della privacy) e Too Many Options (troppe opzioni);
- lo skipping si riferisce alla progettazione dell’interfaccia o del percorso utente in modo tale che gli utenti dimentichino o non considerino alcuni o tutti gli aspetti della protezione dei dati. I due modelli di progettazione ingannevoli che rientrano in questa categoria sono: Deceptive Snugness (comodità ingannevole) e Look over there (guarda di là);
- lo stirring influisce sulle scelte degli utenti facendo leva sulle loro emozioni o utilizzando suggerimenti visivi. I due tipi di modelli ingannevoli che rientrano in questa categoria sono: Emotional Steering (manipolazione emotiva) e Hidden in Plain Sight (nascosto in bella vista);
- l’obstructing significa ostacolare o bloccare gli utenti nel loro tentativo di informarsi o gestire i propri dati, rendendo l’azione difficile o impossibile da completare. I tre tipi di modelli di progettazione ingannevoli in questa categoria sono: Dead End (vicolo cieco), Longer than Necessary (più lungo del necessario) e Misleading Action (azione ingannevole).
Gli indicatori dell’indagine Privacy Sweep
L’indagine effettuata ha valutato i siti e le app sulla base di cinque indicatori identificati dall’Organizzazione per la cooperazione e lo sviluppo economico (OCSE), come caratteristici di modelli di progettazione ingannevoli.
Per ciascun indicatore, il rapporto GPEN ha rilevato che:
- Linguaggio complesso e confuso: è stato riscontrato che oltre l’89% delle politiche sulla privacy sono lunghe o utilizzano un linguaggio complesso adatto a chi ha un’istruzione universitaria.
- Interferenza dell’interfaccia: nel chiedere agli utenti di fare scelte sulla privacy, il 42% dei siti Web e delle app analizzati ha utilizzato un linguaggio carico di emozioni per influenzare le decisioni degli utenti, mentre il 57% ha reso l’opzione meno protettiva della privacy quella più ovvia e più facile da selezionare per gli utenti.
- Fastidioso: il 35% dei siti web e delle app ha chiesto ripetutamente agli utenti di riconsiderare la propria intenzione di eliminare il proprio account.
- Ostruzione: in quasi il 40% dei casi ci sono stati ostacoli nel fare scelte sulla privacy o nell’accedere alle informazioni sulla privacy, come cercare di trovare le impostazioni sulla privacy o eliminare il proprio account.
- Azione forzata: il 9% dei siti web e delle app ha costretto gli utenti a rivelare più informazioni personali quando tentavano di eliminare il proprio account rispetto a quelle che dovevano fornire quando lo aprivano.
Le conseguenze dell’indagine
I risultati dell’indagine non porteranno a contestazioni formali alle società interessate per le violazioni emerse nell’ambito dell’indagine, ma ciascuna autorità di controllo, in modo indipendente, valuterà di avviare un’attività di sensibilizzazione ma anche l’esercizio dei propri poteri di law enforcement.
E sorprende che, dopo 80 anni, la felice intuizione del matematico-biologo italo norvegese Barricelli detta agli albori del mondo digitale sia ancora valida: quando si sta seduti davanti a uno schermo la capacità di pensare lucidamente diminuisce perché si è distratti dalle inezie, e quando si memorizzano i dati […] non si sa affatto dove si trovano.