L’inizio di questo 2024 è foriero di notizie positive per la privacy del web: Chrome ha annunciato che si unirà a Firefox e Safari per deprecare i cookie di terze parti a partire da quest’anno, iniziando con l’1% degli utenti a partire da questo primo trimestre per facilitare i test e aumentando da lì in poi.
Questo articolo spiega i problemi legati ai cookie di terze parti, cosa è già stato fatto per mitigarli, e i nuovi piani di Chrome per disabilitarli a partire dal primo trimestre del 2024.
I cookie sono presenti sul menù da tanto tempo
I cookie sono presenti sul web da molto tempo. In poche parole, l’idea è che un sito possa impostare un cookie sul browser dell’utente tramite l’intestazione di risposta Set-Cookie una volta richiesta una risorsa.
Questo cookie può contenere qualsiasi stringa di dati desiderata dai proprietari del sito ed è generalmente utilizzato per fornire uno stato ai siti web.
A cosa servono i cookie?
Ad esempio, un cookie consente ai siti web di recuperare informazioni quali l’accesso precedente dell’utente, ciò che ha aggiunto al carrello, le preferenze del tema e altre impostazioni di personalizzazione, lo stato del gioco salvato, ecc.
Tutti i casi d’uso sopra descritti possono essere realizzati con i cookie impostati per i documenti esistenti sullo stesso dominio dell’URL caricato nel browser. Si tratta dei cosiddetti cookie di prima parte.
Il problema coi cookie
I problemi possono sorgere quando i cookie vengono impostati per componenti che esistono su domini diversi da quello del documento incorporato, come le immagini o altri documenti incorporati tramite <iframe>.
Questi cookie cross-site sono comunemente chiamati cookie di terze parti, ma il comportamento e i potenziali problemi sono gli stessi, indipendentemente dal fatto che si possiedano o meno tutti i siti coinvolti.
I cookie di terze parti sono il fulcro
I componenti di terze parti possono memorizzare nei loro cookie informazioni provenienti da tutti i documenti in cui sono incorporati. Il dominio di terze parti di origine può quindi accedere a tutti i cookie di terze parti, aggregando le informazioni di ciascuno di essi.
Questo può sembrare innocuo in un primo momento, e ci sono molti usi legittimi dei cookie di terze parti: ad esempio, un’azienda potrebbe voler condividere lo stato di login e le informazioni sul profilo degli utenti tra più siti di sua proprietà che si trovano su domini diversi, o registrare le analisi tra le sue diverse proprietà per studiare i percorsi degli utenti e costruire esperienze più usabili.
Oppure, un’azienda di tecnologia pubblicitaria potrebbe voler dedurre gli interessi degli utenti dai siti che visitano per proporre loro annunci più pertinenti. Ed è qui che andiamo al cuore del problema.
Un’invasione di privacy
Nei casi peggiori, i cookie di terze parti vengono utilizzati per tracciare gli utenti sul web, costruendo un profilo dettagliato che potrebbe includere non solo gli interessi, ma anche informazioni profondamente personali come il sesso, la sessualità, la religione, l’appartenenza politica, ecc.
Queste informazioni possono essere utilizzate per creare esperienze online inquietanti e invasive e vengono anche vendute a terzi. In questi casi si parla di cookie di tracciamento.
A cosa servono dunque i regolamenti per la privacy
Legislazioni come il Regolamento generale sulla privacy dei dati (GDPR) nell’Unione europea e il California Consumer Privacy Act (CCPA) hanno contribuito a rendere obbligatorio per le aziende la trasparenza sui cookie impostati e sulle informazioni raccolte, ad esempio chiedendo ai clienti di acconsentire a tale raccolta di dati, consentendo loro di vedere quali sono i dati in possesso di un’azienda e permettendo loro di cancellarli se lo desiderano.
Tuttavia, non sempre è chiaro ai clienti come vengono utilizzati i loro dati.
Ora: una nuova policy più trasparente
Veniamo ora agli ultimi aggiornamenti sulla questione. Annunciata per la prima volta a fine marzo 2023, la Commissione europea ha pubblicato la bozza del cookie pledge, la proposta di legge per la regolamentazione della profilazione degli utenti su internet.
Questa iniziativa – a cui le aziende sono chiamate ad aderire su base volontaria – mira a rendere la gestione dei cookie più chiara e trasparente per gli utenti in modo da evitare la cosiddetta “cookie fatigue”: quella dinamica per cui un costante bombardamento di banner e richieste di accettazione porta l’utente ad accettare tutto.
Cosa è stato proposto di nuovo?
I principi suggeriti dalla direttiva mirano a eliminare le informazioni considerate di scarso rilievo per il consumatore. Il focus principale di questa iniziativa è quello del “pay or leave”, ovvero la scelta tra pagare per accedere al sito o essere costretti ad abbandonarlo.
Un nuovo scenario che osserviamo diffondersi sempre più frequentemente nel panorama web. La proposta più significativa prevede che siti, giornali e social network offrano non solo una versione a pagamento e una con profilazione pubblicitaria attiva, ma anche una terza opzione che contempli una pubblicità meno invasiva.
Sul tema, il comitato dei garanti europei della privacy (Edpb) ha preso posizione, suggerendo, in una lettera alla Commissione, l’adozione della pubblicità contestuale come alternativa. Il contextual advertising è una forma pubblicitaria legata al contesto in cui viene visualizzata.
Finalmente anche meno richieste agli utenti
La Commissione critica l’approccio di consentire all’utente di deselezionare ogni singolo cookie, sostenendo che si tratti di una trasparenza artificiale che spinge l’utente a cliccare sistematicamente su “accetta tutto” o “rifiuta tutto”. Questa possibilità dovrebbe essere riservata al secondo livello di informazioni, destinato a coloro interessati a un approfondimento di tale grado.
Per evitare la cosiddetta “cookie fatigue”, allora, non sarà permesso ripresentare lo stesso banner più di una volta all’anno (come già richiesto dal Digital Markets Act). Sarà inoltre consentito l’utilizzo di applicazioni terze che permettano di definire le proprie preferenze di trattamento dei dati, incluso l’uso di browser.
Siamo ancora su “base volontaria”
Questa azione diventa ancora più cruciale considerando che il regolamento e-Privacy dell’UE, inizialmente pensato per aggiornare le normative sui cookie, probabilmente non sarà approvato a causa della mancata intesa dovuta a diversi interessi in gioco.
Sebbene questa nuova proposta, basata su un approccio volontario, sembri una misura tampone piuttosto che una soluzione definitiva, l’effetto è che ogni stato membro dell’UE procede autonomamente, così come ogni Autorità garante della privacy ha linee guida proprie, generando frammentazione e confusione tra utenti e aziende.
Quali saranno le prossime mosse?
I passi successivi del progetto della Commissione prevedono un continuo confronto con le aziende, considerando i suggerimenti dei garanti della privacy in vista della prossima versione di quest’anno e della presentazione del testo finale al Consumer Summit ad aprile 2024.
