I trackers sono ovunque e si presentano in molte forme diverse. Alcuni metodi di tracciamento sono più invasivi di altri; vediamo cosa sono i “tracker”, come funzionano ed alcuni esempi dei dati che raccolgono.
Fingerprinting, tracking e trackers vanno di pari passo. In genere, il fingerprinting si concentra sull’identificazione affidabile di utenti unici: questa identità viene spesso utilizzata dai meccanismi di tracking.
L’impronta digitale utilizza le informazioni trovate/inviate dal tuo dispositivo per identificarti e successivamente tracciarti. L’identificazione tramite proprietà uniche come impostazioni del browser, informazioni sul dispositivo e reti connesse (incluse le torri cellulari più vicine) sono gli elementi costitutivi della creazione di un profilo utente univoco .
Il fingerprinting tiene conto dell’intero dispositivo e dei fattori che lo circondano direttamente: il browser, le reti connesse, il sistema operativo (build e versione esatte), le impostazioni del browser, i componenti aggiuntivi/estensioni del browser, l’hardware del dispositivo e altro ancora. Il fingerprinting è tanto invasivo quanto accurato; ad esempio, l’EFF ha stimato che solo 1 browser su 286.777 condividerà la stessa impronta digitale . Naturalmente, alcune tecniche di fingerprinting sono più invasive di altre.
Il fingerprinting si è evoluto così tanto che è quasi impossibile semplicemente “bloccare tutte le tecniche di fingerprinting”. Infatti, è stato dimostrato che su alcuni dispositivi, come gli smartphone, alcuni attacchi di fingerprinting non sono bloccabili .
I trackers hanno molte forme. In genere, indipendentemente dalla forma di tracciamento utilizzata, i trackers sono progettati per 1) tracciarti su diversi siti web, servizi web e app web oppure 2) raccogliere informazioni identificative su di te e sui tuoi dispositivi. Spesso, fanno entrambe le cose.
Molti sostenitori del tracciamento affermano che è vantaggioso per gli utenti perché possono ottenere raccomandazioni personalizzate. Sebbene ciò sia vero, ha un prezzo per la privacy dell’utente; spesso, gli utenti non capiscono esattamente cosa comporta questo costo della privacy, anche se ne sono consapevoli.
Anche se la consapevolezza dell’esistenza dei trackers e dei sistemi di tracciamento sia ormai di comune conoscenza (perlomeno nella maggioranza degli utilizzatori del Web) e le informazioni sulle tecnologie/metodi di tracciamento (e di rilevamento delle impronte digitali), sui dati che possono catturare e con chi vengono condivisi, vale seriamente la pena chiederci quanto il prezzo da pagare sia più o meno alto per la salvaguardia della nostra Privacy.
I pixel di tracciamento (noti anche come web beacon o pixel tag) sono immagini di dimensioni pixel 1×1 solitamente incorporate in pagine web, annunci ed e-mail . Sebbene siano immagini che si carichino come tali, sono così piccole da essere invisibili all’occhio umano.
Una volta caricati, i pixel di tracciamento catturano dati in genere sull’attività e l’interazione dell’utente. Ad esempio, i pixel di tracciamento sono utilizzati quasi ovunque nelle e-mail, in particolare nelle e-mail di marketing, per tracciare se e quando un destinatario apre un’e-mail ; i pixel di tracciamento incorporati nelle e-mail possono segnalare la data e l’ora esatte in cui è stata aperta un’e-mail, la posizione del dispositivo utilizzato per aprire l’e-mail e in quale client di posta elettronica è stata aperta l’e-mail.
I pixel di tracciamento si trovano comunemente anche nelle pubblicità. I pixel di tracciamento incorporati nelle pubblicità sono spesso chiamati “ad tracker”, sebbene questo termine possa includere anche altri metodi di tracciamento, come i cookie di tracciamento; possono tracciare visualizzazioni, clic, fonti di riferimento e conversioni nelle pubblicità visualizzate.
Anche alcuni siti web utilizzano pixel di tracciamento. Di solito vengono utilizzati in combinazione con software di analisi e cookie di tracciamento, anche se ovviamente questo varia enormemente tra i siti web. Alcuni potrebbero persino utilizzare più pixel di tracciamento, di cui di solito si tratta di codice JavaScript fornito da terze parti (come Meta Pixel in Facebook).
I pixel di tracciamento sono versatili e, a seconda di dove sono incorporati e delle entità che li utilizzano, possono raccogliere molti dati come (ma non solo):
Cronologia di navigazione
Cronologia delle ricerche
Dati sulla posizione
Informazioni sul dispositivo (tipo, sistema operativo, ecc.)
Conversioni
Annunci cliccati all'interno della rete pubblicitaria
Dati inviati ai siti web
Informazioni sul client di posta elettronica
Dati di apertura e-mail, ora
Informazioni dai cookie memorizzati sul tuo dispositivo (hai effettuato l'accesso a un altro servizio?)
Informazioni sul profilo dei social media
Una parentesi dovuta al più noto pixel di tracciamento Meta Pixel (in precedenza: Facebook Pixel). È incorporato in milioni di siti Web e ha dimostrato di essere spietatamente efficiente nel raccogliere enormi quantità di dati, inclusi dati sensibili come informazioni sui registri fiscali, status di veterano (negli USA), indirizzi e persino informazioni sanitarie.
Di recente, Meta Pixel è stato oggetto di contenziosi sulla privacy nel 2022 e nel 2023 (e probabilmente anche in futuro), soprattutto perché facilitava la condivisione di dati e informazioni sensibili, soprattutto quando i dati non potevano essere condivisi con terze parti “per legge” (si pensi alla violazione dell’HIPAA) senza l’espresso consenso degli utenti.
I cookie sono bit di dati che vengono memorizzati sul tuo browser web dai siti web. Probabilmente hai sentito parlare di cookie di prima parte e di terze parti; i cookie di prima parte vengono posizionati dal sito web stesso mentre i cookie di terze parti vengono posizionati da un’entità diversa che li carica sullo stesso sito web, come gli annunci pubblicati da una rete pubblicitaria.
Alcuni cookie sono essenziali per il funzionamento di alcuni siti web. Alcuni siti web hanno molti cookie che conservano molti bit di informazioni diverse che potrebbero risultare fastidiose per gli utenti da ridefinire continuamente nelle visite successive. Ad esempio, i cookie di sessione possono essere utilizzati per riautenticarti a un sito web in una visita successiva, senza dover effettuare nuovamente l’accesso. I cookie di sessione possono anche conservare le preferenze salvate (modalità scura o modalità chiara?) e altri dettagli tra le visite.
Naturalmente, alcuni cookie nel tuo browser potrebbero anche essere cookie di tracciamento. Nota che i cookie di tracciamento non eseguono il tracciamento attivo da soli, ma memorizzano informazioni che i siti Web interessati a tracciare la tua attività possono recuperare e leggere in seguito, spesso raccogliendo informazioni personali . I cookie di tracciamento possono essere di prima o terza parte, ma sono comunemente di terza parte.
Per la raccolta tramite chiamata a siti web/host, i cookie di tracciamento possono memorizzare:
Cronologia di navigazione (siti visitati)
Durata della permanenza in un dato sito
Dati di interazione con un sito (ad esempio: quante pagine clicchi)
Pubblicità cliccate
Prodotti acquistati
Informazioni inserite nei moduli web (anche senza premere il pulsante di invio)
Dati sulla posizione
Informazioni personali fornite a un sito web
Sembrava che, a causa del blocco predefinito dei cookie di terze parti da parte di Safari e Firefox e dell’entrata in vigore di leggi come il GDPR dell’UE, i cookie di terze parti potessero essere in via di estinzione. Le grandi aziende tecnologiche, come Google e Microsoft, cercarono di eliminare i cookie e lanciarono dei piani per farlo. In particolare, l’iniziativa di eliminare gradualmente i cookie di tracciamento fu guidata da Google in previsione del lancio della sua Topics API/Privacy Sandbox
Tuttavia, nel luglio 2024, Google ha annunciato che non aveva più intenzione di disabilitare i cookie di tracciamento per impostazione predefinita . Rispetto alla strategia pluriennale di lancio dell’API Topics e contemporanea eliminazione dei cookie, questa decisione è stata considerata piuttosto improvvisa e senza molte spiegazioni da parte di Google; una teoria è che gli inserzionisti non siano passati o non siano passati prontamente all’utilizzo dell’API Topics di Google, il che rappresenterebbe un duro colpo per i loro ricavi.
Gli URL di tracciamento, comunemente chiamati anche Link di tracciamento , incorporano identificatori univoci negli URL. Sono immensamente popolari nelle e-mail, ma sono anche comunemente utilizzati quando si collegano a siti Web esterni da una pagina Web.
In genere, gli URL di tracciamento includono parametri UTM aggiunti progettati per tracciare il traffico in entrata (e la sua origine) verso un sito Web o un’altra proprietà Web. Tuttavia, non devono necessariamente utilizzare parametri UTM per “tracciare” i clic; ad esempio, molti accorciatori di URL raddoppiano come URL di tracciamento, poiché ogni URL abbreviato è univoco.
A seconda dei parametri definiti, un URL di tracciamento può acquisire:
Clic
Visualizzazioni di pagina
Impressioni
Frequenza di rimbalzo
Tempo medio sul sito
In generale, gli URL di tracciamento sono il lato meno invasivo dello spettro. Sono anche “facili” da correggere; i parametri UTM sono alla fine dell’URL e rimuoverli prima della connessione al server web rimuove efficacemente il “tracciamento”. Gli URL di tracciamento sono spesso utilizzati insieme ad altri metodi di tracciamento.
Molti singoli Titolari o Aziende Titolari di siti Web utilizzano Software di analisi allo scopo di monitorare la crescita , le visite, le interazioni …del proprio pubblico sul sito/i Web. Spesso e più frequentemente questi Software di analisi vengono utilizzati per i siti commerciali o di vendita di beni o servizi in quanto forniscono informazioni molto utili per valutare quanto i contenuti del sito convergano in vendita e corregere gli eventuali errori in base ai dati raccolti. Un classico di questi software è tenere traccia nel tempo (o per specifico articolo) del “carrello abbandonato” ed il perchè.
Il più famoso ed utilizzato di tutti è Google Analytics, considerato forse il più invasivo del panorama. Il software di analisi può acquisire dati, come, ma non solo:
Azioni intraprese dagli utenti su un sito web
Transazioni/conversioni
Informazioni sul referrer (che possono includere token sensibili, soprattutto se il browser per impostazione predefinita inoltra l'intera stringa URL al server)
Informazioni sul fuso orario
Informazioni sulla posizione
Informazioni sul dispositivo
Informazioni sui dati di arresto anomalo (in genere per le app)
Informazioni inserite nei moduli del sito web
Informazioni sui cookie di terze parti
Dati demografici degli utenti
Nel caso di Google Analytics, mentre Google “sconsiglia” ai proprietari di siti web di elaborare “informazioni di identificazione personale” tramite Google Analytics, ciò non significa che ciò non accada; ciò che Google definisce PII (personally identifiable information)potrebbe non corrispondere alle leggi sulla privacy/definizioni legali di PII. Inoltre, Google stessa potrebbe utilizzare e aggregare i dati raccolti tramite Google Analytics sui siti web, spesso in combinazione con i propri metodi di tracciamento e approfondimenti, che potrebbero essere utilizzati per indirizzare gli utenti con annunci pubblicitari.
Naturalmente, mentre si stima che Google Analytics sia in uso su (almeno) più della metà dei siti web più popolari al mondo, non è l’unico software/piattaforma di analisi invasiva in circolazione. Altri software di analisi possono raccogliere e tracciare gli utenti in modo simile; e tra i vari software di analisi, diverse configurazioni (e in alcuni casi, configurazioni errate) possono tendere a essere anche più aggressive, minando ulteriormente la privacy degli utenti in modi simili a Google Analytics.
Le app (Andoird ed IOS) utilizzano ed includono regolarmente software analitici, implementati in modo simile al software analitico presente sui siti Web. L’analisi delle app può anche acquisire informazioni sui dati di crash (che possono contenere informazioni identificative del dispositivo), informazioni sulle prestazioni (che possono contenere informazioni identificative del dispositivo), identificatori e informazioni sull’utilizzo dell’app. Quando si tratta di visualizzare annunci mirati in un’app, spesso software di analisi, SDK e pixel di tracciamento vengono utilizzati in combinazione.
A seconda dell’app e del suo stack di analisi, i dati raccolti potrebbero essere ulteriormente condivisi con terze parti, anche per pubblicità mirate, marketing e potrebbero persino finire come parte della sorveglianza digitale a livello statale .
Poiché i trackers hanno forme diverse, i dati che raccolgono variano. Ad esempio, potresti fare riferimento ai metodi di tracciamento descritti sopra, sebbene questi elenchi non siano esaustivi. Per questo motivo, scoprirai che molti siti Web diversi utilizzano una combinazione di diverse tecniche di tracciamento , spesso per raccogliere quanti più dati possibili su utenti e visitatori.
Alcuni esempi che dimostrano quali dati e con vari meccanismi di tracciamento raccolgono, compresi gli errori di una cattiva gestione o vere e proprie bugie su quali dati alcune tecnologie di tracciamento raccolgono.
Nel luglio 2024, il Dipartimento dell’Istruzione degli Stati Uniti è stato citato in giudizio per aver condiviso le informazioni della Free Application for Federal Student Aid (FAFSA) degli studenti con Facebook. In particolare, il Meta pixel ha trasmesso i dati degli studenti dal sito web FAFSA in un formato hash, ma facilmente reversibile.
Nell’aprile 2024, Cerebral, un’azienda di telemedicina, è stata multata di 7 milioni di dollari per aver “ingannato i consumatori facendogli credere che le loro informazioni sanitarie fossero protette, mentre i trackers incorporati inviavano dettagli sui trattamenti e altro ancora a terze parti”. Tra queste terze parti figurano Meta (Facebook, Instagram), TikTok e Google.
Nel novembre 2022, un’indagine di The Markup ha scoperto che le società di preparazione delle dichiarazioni dei redditi , H&R Block, TaxAct e TaxSlayer, inviavano informazioni finanziarie, nomi e indirizzi e-mail a Meta (tramite il pixel Meta). TaxAct ha anche utilizzato Google Analytics sul suo sito Web, che presumibilmente ha inviato informazioni finanziarie come reddito, importi di rimborso e stato di presentazione a Google.
La maggior parte delle tecniche descritte finora sono state di tracciamento lato client. Tuttavia, esiste anche il tracciamento lato server, che in genere funziona insieme (o in alcuni casi, al posto di) meccanismi di tracciamento lato client.
Il tracciamento lato server è più difficile da bloccare per l’utente finale perché l’elaborazione dei dati di interazione/raccolta avviene, direttamente, sul server. Ad esempio, il tracciamento lato server generalmente non memorizza i cookie sul dispositivo di un utente; pertanto, non c’è “nulla” che il client (utente) possa bloccare. Rispetto al fare affidamento sul dispositivo e sul browser del client per elaborare e inviare dati, il tracciamento lato server in genere utilizza interfacce di programmazione delle applicazioni (API) per comunicare con altre comuni piattaforme di tracciamento/analisi come Meta e Google Analytics.
Naturalmente, poiché l’elaborazione dei dati avviene lato server, ciò rende più difficile bloccare e/o interrompere questa raccolta e tracciamento dei dati. La maggior parte delle tecnologie di adblocking sono contromisure contro i metodi di tracciamento lato client, descritti nelle varie sezioni di questo post. In generale, il tracciamento lato server è più complesso e costoso da impostare e mantenere, quindi il tracciamento lato client è ancora molto diffuso.
Il blocco dei trackers (che spesso sono inclusi negli annunci pubblicitari) comporta vantaggi in termini di privacy e sicurezza . Alcuni annunci pubblicitari potrebbero essere in realtà dannosi, potenzialmente in grado di distribuire malware o script dannosi in alcuni contesti, ma questa è un’altra storia….che magari affronteremo.
I trackers possono essere bloccati a livello di browser, dispositivo o rete . È comune usare qualsiasi combinazione per bloccare i trackers: ciò che viene usato dipende principalmente dall’utente. Due metodi comuni per bloccare i trackers sono impostare il dispositivo o la rete in modo che utilizzi un provider DNS che offre il filtraggio dei domini e utilizzare un’estensione/un componente aggiuntivo di blocco degli annunci nel browser (Ad Block).
Come accennato ad inizio articolo anche se la maggior parte degli utenti Internet è a conoscenza di questa pratica, nella maggioranza dei casi la si “accetta” senza prendere contromisure adeguate un pò come quando si dice tanto a me non capita. E’ qui che ci si sbaglia, i sitemi di tracciamento ed i trackers in generale (intesi tutti i tipi e metodi) sono dappertutto e si attivano all’accensione del PC, nessuno si accorge dell’essere tracciato o seguito nelle proprie attività quotidiane ma la brutta notizia è che succede inesorabilmente ogni giorno.
Per fortuna esistono sistemi che ci aiutano a tenere la nostra Privacy ed i nostri dati privati ed al riparo da questi inconvenienti.
Vpn, Proxy, estensioni del Browser come Privacy Badger o Startpage, usare Browser votati alla Privacy ed al rispetto dei nostri dati, ed un pò di buonsenso, sono armi di difesa estremamente efficaci e sicure. Combinare gli strumenti a disposizione e cambiare abitudini è la strada giusta perlomeno per contenere significativamente il tracciamento e l’osservazione della nostra attività online.