Al giorno d’oggi ormai tutti sono capaci di navigare in Internet, e la quantità di informazioni che è possibile trovare è sempre più massiccia. A ciò non possono non accompagnarsi i concetti di privacy e sicurezza, indispensabili per capire le minacce che si nascondono nel mondo del web. Sicuramente vi sarà capitato di cercare ad esempio dei modelli di computer per scegliere quale acquistare, e poi imbattervi il giorno dopo in un annuncio pubblicitario su Facebook o Instagram avente ad oggetto proprio i computer. Ma fin qui nulla di nuovo, in quanto conosciamo il fenomeno del tracciamento online.

La relazione con le idee di privacy e sicurezza a cui abbiamo fatto riferimento prima è resa ancora più stretta dai risultati dell’analisi effettuata da tre ricercatori del Center for Information Technology Policy di Princeton (CITP). Da questo studio è emerso che oltre 400 dei siti web più importanti al mondo ricorrono a scripts di tracciamento delle sessioni online dei visitatori così raccogliendo le informazioni personali degli utenti. In cosa consiste la loro attività? Questi scripts registrano anche i singoli click effettuati su una determinata pagina e le parole che noi digitiamo (ad esempio compilando un modulo). Rimane traccia perfino se scriviamo qualcosa e poi la cancelliamo. Questo video dimostra in maniera chiara come funziona il meccanismo:

L’utilità che il gestore del sito web trae dall’uso di questa tecnologia consiste nell’avere facile accesso al modo in cui gli utenti visitano il sito, in modo da capire anche cosa è di maggiore interesse. Questi scripts non si limitano ad accumulare i dati, ma registrano e – come mostrato nel video – sono in grado di fare un replay della navigazione dell’utente. Il che fa spavento nel momento in cui si considera che quindi è possibile vedere anche l’inserimento di dati sensibili, quali ad esempio password, condizioni mediche e dettagli della carta di credito. Gli scripts presi in considerazione in questa ricerca sono di sette delle compagnie più famose al mondo in questa tecnologia, quali FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar ed il più popolare motore di ricerca russo, Yandex. E 482 dei principali 50.000 siti del mondo – anche se stando alle dichiarazioni dei ricercatori il numero potrebbe tranquillamente essere maggiore – utilizzano gli scripts di almeno una di queste compagnie.

Tale questione rappresenta un grande pericolo in tema di privacy, e ciò principalmente per due motivi. Innanzitutto perché, come spiegano gli stessi ricercatori, questa raccolta di dati può far sì che i contenuti sensibili possano essere trasmessi a terzi come parte della registrazione. Ma il pericolo è rappresentato anche dal fatto che le compagnie che forniscono questi scripts possono essere sicuramente viste come un obiettivo appetibile di un attacco hacker.

Tutto ciò può essere collegato, sotto l’aspetto più strettamente legale, al problema delle informative sulla privacy troppo generiche ed imprecise, fatte senza particolare cura per il dettaglio: è ciò a cui è giunto il Global Privacy Enforcement Network (GPEN) al termine di un’indagine internazionale condotta da ventiquattro Autorità per la protezione dei dati personali. La ricerca, svolta su 455 siti web ed app di vari settori come viaggi, sanità, banche, social media e retail, ha messo in luce come solo il 35% delle informative sulla privacy menzioni l’adozione di misure di sicurezza a protezione delle informazioni personali degli utenti, e il 67% dei siti e delle applicazioni ometta di specificare in quale parte del mondo vanno a finire i dati; addirittura il 51% non chiarisce se e con chi questi vengono condivisi. Non solo le Autorità hanno rilevato informative spesso generiche e talvolta imprecise con riferimenti normativi obsoleti, ma a quasi metà degli utenti (44%) non vengono neanche comunicate le modalità di accesso per l’esercizio dei loro diritti [fonte: Privacyitalia.eu].

In questo senso gli sforzi della Federprivacy, che è arrivata ad elaborare un marchio di qualità “Privacy OK”, che funge sostanzialmente da bollino che certifica che un determinato sito web è conforme ai criteri generali della normativa in materia di privacy. È inoltre stato creato uno sportello online a cui possono rivolgersi gli utenti per effettuare segnalazioni. Il presidente di Federprivacy, Nicola Bernardi, ci tiene a sottolineare come «gli utenti possono contare sul fatto che non si tratta di un semplice bollino rilasciato in maniera autoreferenziale. Infatti, le attività di assessment non vengono svolte dal nostro staff interno ma sono state affidate all’organismo di terza parte e indipendente – TÜV Italia – che assicura l’imparzialità del processo di valutazione per determinare se un sito o una app è effettivamente conforme e meritevole di fregiarsi del marchio». Ferrero è stata la prima società ad aderire al codice di condotta per attestare il proprio impegno a rispettare la privacy online degli utenti, ottenendo il “Privacy OK”.

Dott. Andrea Liguori – Associate