Web trackers e behavioral advertising, cos’è il tracciamento online e come limitarlo

Web trackers e behavioral advertising (letteralmente: pubblicità comportamentale) sono due strumenti sempre più utilizzati per tracciare i nostri comportamenti online e raccogliere dati personali. E non potrebbe essere diversamente visto che il settore del digital advertising è in crescita costante, controllato da pochissimi soggetti (Google e Facebook principalmente) che sfruttano fortissime competenze tecnologiche e ingenti risorse finanziare per mantenere questo oligopolio.

Questo comporta lo sfruttamento in maniera sempre più invasiva di un volume e una varietà crescente di informazioni prodotte dagli utenti nelle loro “interazioni digitali”, a ritmi fino a qualche anno fa inimmaginabili. Come funzionano questi meccanismi? Come possiamo impedire o limitare la raccolta di queste informazioni?

Cosa sono i cookie

Recentemente, anche grazie alla maggiore attenzione dedicata al tema web trackers e behavioral advertising in seguito all’entrata in vigore del GDPR, su diverse pagine web sono diventati più visibili messaggi che informano dell’utilizzo da parte del sito di cookie e altri marcatori digitali, impedendo la navigazione finché l’utente non compie una “azione positiva” cliccando su un punto del sito, non accetta almeno i cookie tecnici o non clicca sul link che lo riporta alla cookie policy (per lo meno questo è quello che dovrebbe essere garantito secondo la normativa vigente).

I cookie o marcatori sono pacchetti di informazioni inviate da un web server al browser del visitatore/utente e da quest’ultimo memorizzati automaticamente sul proprio dispositivo (personal computer, tablet, cellulare ecc.) e rinviati automaticamente al server ad ogni successivo accesso al sito.

Esistono diverse tipologie di cookie e le informazioni che possono contenere sono le più varie:

• la lista dei prodotti aggiunti al carrello;
• la lingua con cui si vuole visualizzare il sito web;
• un ID univoco che permetta di riconoscere l’utente senza che debba fare il login su ogni pagina;

e via dicendo. Ognuna delle differenti tipologie di cookie ha una finalità diversa:

• tecnici, necessari al corretto funzionamento di un sito, vengono installati automaticamente e sono a loro volta distinguibili in:

1. cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di autenticarsi per accedere ad aree riservate);
2. cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua);

• analytics, di prima e di terza parte, utilizzati per raccogliere ed analizzare informazioni aggregate e anonime e svolgere analisi statistiche sugli accessi e le visite ai siti web al fine di migliorarne la visibilità, le prestazioni e il design;
• di profilazione, di prima e di terza parte, utilizzati per identificare le preferenze manifestate dall’utente durante la navigazione in rete e inviare messaggi pubblicitari targettizzati”.

I cookie di profilazione risultano “eccedenti” rispetto alla fornitura del servizio e pertanto dovrebbero essere esplicitamente accettati dall’utente.

In caso di rifiuto, non dovrebbero pertanto comprometterne la fruizione del servizio: tale fattispecie viene definita “consent wall” ed è ovviamente non conforme e sanzionabile da parte del Garante Privacy.

Web trackers e behavioral advertising: le informazioni raccolte

In linea teorica queste informazioni sono “quasi-anonime” perché associate ad un dispositivo; tuttavia, se arricchite con dati che confermano una caratteristica dell’utente (età, sesso) o lo rendono direttamente identificabile (nome e cognome) risultano potenzialmente molto dettagliate e invasive.

Questo avviene quando chi inocula un cookie o gestisce una DMP (Data Management Platform) ha anche a disposizione i dati di quegli utenti su sistemi di tipo CRM (Google attraverso Gmail e altri servizi, Facebook con il profilo).

Tali dati sono fondamentali perché annullano l’errore statistico legato all’inferenza di alcune caratteristiche personali in base alla navigazione effettuata: classificare un utente come uomo perché visita siti sportivi è sicuramente meno affidabile come informazione del nome, cognome e sesso forniti durante la registrazione a qualche servizio.

Le DMP raccolgono dunque tre tipologie di dati.

• dati di prima parte: si tratta di dati che vengono raccolti attraverso fonti di proprietà dell’inserzionista e si riferiscono a clienti o utenti che sono transitati sulle sue properties digitali;
• dati di seconda parte: si tratta dei medesimi dati ma non riferiti all’inserzionista, bensì un’altra fonte. Sono quindi sostanzialmente dati di prima parte di altri soggetti. Questi dati sono interessanti quando esistono sinergie tra i prodotti e servizi delle parti coinvolte;
• dati di terza parte: si tratta di dati che provengono da fonti esterne agli inserzionisti, normalmente più cari e di minore valore rispetto ai precedenti. Ovviamente, sono fondamentali per ottenere maggiori criteri di segmentazione degli Audience (età, genere, stato civile, livello di studi ecc.).

Processo di raccolta ed elaborazione dati

A valle di tali premesse, come funziona la raccolta e l’elaborazione di queste informazioni per finalità di profilazione?

Nel momento in cui i cookie vengono inoculati sul browser, identificati da un Browser Cookie ID, seguono l’utente nella navigazione, collezionando informazioni sui siti visitati. In linea generale, esistono altri identificativi univoci che possono essere usati per il tracciamento; per esempio, i cellulari forniscono una serie di identificativi univoci:

• IDFV: Identificatore per fornitore univoco disponibile solo su dispositivi Apple. Utilizzato per il monitoraggio in-app;
• IDFA: Identifier For Advertiser univoco, disponibile solo su dispositivi Apple. Ora è chiamato “Advertiser IDentifier”, utilizzato per il monitoraggio in-app;
• AdID: identificatore dell’inserzionista univoco, disponibile solo su dispositivi Android, utilizzato per il monitoraggio in-app.

Le informazioni vengono raccolte nelle DMP e utilizzate per segmentare gli utenti sulla base di caratteristiche e preferenze omogenee. Il prodotto di questa elaborazione sono i cosiddetti “Audience” ovvero segmenti di pubblico che, tra le altre caratteristiche:

• sono tanto più affidabili quante sono le fonti delle informazioni. Le alternative in questo caso sono o di utilizzare i propri cookie su diverse piattaforme terze (Facebook, Google) o far confluire in una unica DMP dati raccolti da soggetti diversi (Criteo, Lotame);
• hanno una vita utile limitata, in quanto le informazioni di navigazione su cui si fondano perdono di affidabilità molto velocemente. Devono pertanto essere costantemente aggiornati e ridefiniti secondo nuove categorie se necessario.

Web trackers e behavioral advertising: finalità e valore dei dati

La finalità della definizione di un Audience può essere:

1. orientata al prodotto, quando vengono messi a disposizione degli inserzionisti che vogliono promuovere i loro prodotti o servizi tramite banner pubblicitari o campagne DEM solo utenti che abbiano caratteristiche e preferenze che corrispondono al loro target di riferimento;
2. orientata all’utente, quando viene studiato l’Audience di un sito specifico, per individuare possibili caratteristiche comuni ai suoi utenti, che potrebbero essere diverse rispetto a quelle del target immaginato. In caso di esito positivo, si possono applicare modelli di similarity o look alike, che consistono nell’individuare segmenti con caratteristiche simili a quelle dei propri utenti e indirizzare azioni di marketing.

Per avere una idea di quanto sia profittevole il mercato, basti pensare che la maggior parte dei 110,8 miliardi di dollari del fatturato di Google nel 2017 proveniva dal suo servizio di pubblicità proprietario, Google AdWords e che per il terzo trimestre del 2018, 24,1 miliardi di dollari su 27,7 del fatturato proveniva dalla pubblicità.

Gli inserzionisti pagano Google ogni volta che un visitatore fa clic su un annuncio. Un clic può valere da pochi centesimi a oltre 50 dollari per chiavi di ricerca “altamente competitive”, tra cui assicurazioni, prestiti e altri servizi finanziari.

Oltre ad offrire pubblicità sulle proprie properties, il programma AdSense di Google consente ai siti Web non Google di incorporare pubblicità di inserzionisti che utilizzano i servizi di Google sulle proprie pagine.

Gli annunci AdSense funzionano in modo simile alla pubblicità interna di Google, ma vengono visualizzati su siti approvati da Google ovunque su Internet. Quando un visitatore fa clic su una pubblicità display su uno di questi siti web, Google trattiene una commissione dal pagamento ricevuto dal proprietario del sito.

Web trackers e behavioral advertising: tutela della privacy

Come si può limitare l’inoculamento di tali cookie, la raccolta delle suddette informazioni e l’utilizzo per le finalità sopra indicate?

Attività di prevenzione

1. Utilizzare VPN per navigare su internet, così da rendere l’utente irriconoscibile ad ogni sessione rispetto alla precedente; le VPN possono essere implementate attraverso i sistemi operativi più comuni (Windows, Linux, Android, iOS) oppure tramite software di terze parti. Nonostante la VPN nasconda l’indirizzo IP, il browser potrebbe comunque individuare l’utente attraverso il fingerprinting, ovvero una “impronta digitale” unica del device con informazioni specifiche su sistema operativo, impostazioni e hardware.
2. Utilizzare un motore di ricerca Privacy Friendly (Duck Duck Go, Qwant) che non monitora la navigazione per fini commerciali e utilizza server proxy eliminando la tracciabilità e i cookie.

Attività di protezione

1. Se non strettamente necessario, non navigare in modalità “loggata” a nessun servizio (ad esempio: Gmail).
2. Verificare quali cookie vengono inoculati nel momento in cui si atterra su un sito e bloccare quelli non voluti a livello di browser: su Chrome, ad esempio, basta cliccare sul lucchetto che appare nella barra di ricerca, poi su Cookie in uso e bloccare/rimuovere quelli non desiderati.
3. Utilizzare estensioni gratuite del browser che consentono di visualizzare e bloccare (sul singolo sito o su tutti i siti) i cookie che vengono inoculati e le relative pubblicità comportamentali: ne esistono diversi, uno dei più semplici da usare e interessanti è Ghostery.
4. Verificare quali web tracker sono stati inoculati sul device e sono “persistenti”, consentendone o meno l’utilizzo, visitando il sito YourOnLineChoise, che elenca alcuni dei provider che lavorano con i gestori dei siti web per raccogliere e utilizzare informazioni utili alla fruizione della pubblicità comportamentale e consente di attivarli/disattivarli tutti insieme o singolarmente.
5. Revocare il consenso all’utilizzo di web trackers attraverso le cookie policy dei singoli siti web visitati, anche se è una opzione molto lunga e non molto efficace.
6. Fare “disobbedienza digitale”, fornendo su siti e app meno dati personali possibili o cercando di confondere le regole di classificazione delle DMP con informazioni contrastanti di navigazione raccolte in un breve lasso di tempo.

Ovviamente se si decide di utilizzare uno di questi metodi per evitare il tracciamento e rendere dunque inefficaci web trackers e behavioral advertising, non significa che non verranno ricevute più pubblicità su internet: significa solamente che i banner che verranno visualizzati sui siti potrebbero non rispecchiare gli interessi o le preferenze, reali o presunte, dell’utente.