Il browser Web vi spia: altro che i cookie!

Nell’ultimo periodo i principali sviluppatori di browser Web si stanno attivando per mettere soggetti terzi nelle condizioni di monitorare come si comportano gli utenti dei loro software. L’idea è un po’ il sale del Web marketing e mira a comprendere quali sono le preferenze degli utenti, come si distribuiscono i loro interessi, i loro acquisti, quanto i contenuti man mano pubblicati abbiano successo in termini di visualizzazioni e conversioni.

Buona parte della pubblicità online si regge sul concetto di retargeting: tipicamente, i clienti non acquistano in occasione della prima visita su un sito Web. Un URL contenente parametri di tracciamento (seguono il simbolo “?”) restituisce solo una minima parte del quadro utile a comprendere i percorsi degli utenti, al fine di ottimizzare al massimo le possibilità di vendita online.

La crociata contro i cookie

Ecco quindi che in passato si faceva (e si fa ancora oggi) largo impiego dei cookie, piccoli file di testo che consentono di capire quali sono le pagine Web che gli utenti visitano più spesso. Recependo le indicazioni provenienti dall’Europa, le Autorità per la protezione dei dati personali si sono attivate per prescrivere l’acquisizione di un consenso esplicito e informato da parte degli utenti. Il Garante Privacy scrive: “i cookie di profilazione o gli altri strumenti di tracciamento (…) possono essere utilizzati soltanto se l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate“.

E così sono nati i famosi disclaimer cookie: “abbiamo a cuore la tua privacy“, con mille altre variazioni sul tema. Sulla base delle norme vigenti, non è possibile insomma disporre la creazione sui client degli utenti di cookie utili per finalità di Web marketing (quindi ad esempio per tracciare i comportamenti osservati sul Web…), senza aver preventivamente raccolto un consenso espresso in modo libero e informato.

Il legislatore ha posto un gravame non indifferente in capo agli editori online (spesso l’ultima ruota del carro, soprattutto se si fa riferimento alle piccole realtà) mentre i gestori delle piattaforme di Web advertising sono stati per tanto (troppo) tempo alla finestra.

I tanti strumenti di tracciamento che si sottraggono ai controlli più severi

Sebbene le norme in vigore non riguardino solo i cookie ma anche gli “altri strumenti di tracciamento“, c’è tutto un sottobosco di soluzioni di tracking che sembrano sottrarsi a verifiche puntuali. Si pensi all’odiosa pratica del fingerprinting che consente di tracciare un unico utente (o meglio, il suo dispositivo) quando passa da un sito Web all’altro (e a volte anche da un browser a un altro), senza mai ricorrere ai cookie.

Per non parlare poi dei tanti framework per il tracciamento degli utenti utilizzati nelle applicazioni installate sui dispositivi mobili. Sono all’ordine del giorno; spesso il loro utilizzo non viene dichiarato neppure nelle privacy policy, eppure le sanzioni non arrivano. Perché i provvedimenti si assumono a valle della ricezione di segnalazioni e della conseguente apertura di un fascicolo.

I cookie, evidentemente la punta di un iceberg di proporzioni colossali, sono però divenuti il capro espiatorio. Elementi da bocciare senza appello, forse – a modesto parere di chi scrive – con un po’ troppo eccesso di zelo. Sì, perché i cookie sono gestiti dai browser Web e gli utenti hanno tutti gli strumenti (da tempo immemorabile) per evitarne l’accettazione (Blocca i cookie di terze parti) oppure per disporne la rimozione all’atto della chiusura del software usato per navigare online (Elimina i cookie alla chiusura del browser).

Abbasso i cookie di terze parti ma… i browser iniziano a monitorare il comportamento degli utenti

Era facile prevederlo a suo tempo. Il marketing digitale si appoggia necessariamente ai dati: per sviluppare attività di successo, vendere prodotti e servizi è necessario conoscere la propria audience e avere buona visibilità su preferenze e comportamenti. I dati sono alla base di qualunque progetto d’impresa: saperli raccogliere, in armonia con le disposizioni di legge, e gestirli in modo corretto è la chiave di volta per eccellere. In qualunque campo.

Il deciso giro di vite sui cookie ha imposto ai vari player di ripensare le modalità di raccolta dei dati di navigazione. Diversi fornitori si sono attivati per condividere soluzioni per il Web marketing di tipo cookieless, ovvero che non fanno più uso di cookie.

Da qualche tempo a questa parte, però, si sono mossi anche gli sviluppatori di browser che propongono soluzioni basate sul concetto di attribuzione.

Cos’è l’attribuzione pubblicitaria e com’è nata

L’attribuzione pubblicitaria è il processo di identificazione delle azioni o delle interazioni degli utenti che concorrono al raggiungimento di un risultato desiderato (come una vendita o una registrazione) e l’assegnazione di un valore a ciascuno di questi eventi nel percorso del cliente.

Si tratta di un meccanismo che aiuta a determinare quali canali e campagne generano il miglior ritorno sull’investimento (ROI). Permette di allocare risorse in modo più efficiente, fornisce preziose panoramiche sul percorso del cliente, consente di affinare le strategie di marketing basandosi su dati concreti. Come dice Mozilla, “l’attribuzione è il modo con cui gli inserzionisti possono stabilire se la loro pubblicità funziona. L’attribuzione misura quante persone hanno visto un annuncio su un sito e successivamente hanno visitato il sito Web dell’inserzionista per fare qualcosa che interessava all’inserzionista stesso“.

La crescente consapevolezza e preoccupazione dei consumatori riguardo alla privacy online nonché i più severi adempimenti normativi, hanno spinto l’industria tecnologica e pubblicitaria a cercare soluzioni che rispettino i diritti degli utenti.

Iniziative come Intelligent Tracking Prevention (Apple), la recente introduzione di Private Browing 2.0 in WebKit, l’annuncio di Google di eliminare il supporto per i cookie di terze parti in Chrome, l’approccio più intransigente da parte di Mozilla Firefox, stanno portando a ripensare completamente l’uso dei cookie sul Web.

Strumenti come AdAttributionKit (Apple), Privacy Sandbox (Google) e Privacy-Preserving Attribution (Mozilla) rappresentano una risposta dell’industria a una combinazione di pressioni normative, aspettative dei consumatori, evoluzione tecnologica e necessità di business. Queste nuove soluzioni cercano di bilanciare l’efficacia dell’attribuzione pubblicitaria con il rispetto della privacy degli utenti, adattandosi a un panorama digitale in rapida evoluzione.

Il browser Web controlla il comportamento degli utenti

“Con l’attribuzione nel rispetto della privacy, le attività dell’utente sono tenute sotto controllo dal suo browser e non dai siti Web. Ciò significa poter contare su forti garanzie per la protezione della privacy, inclusa la possibilità di non partecipare“, scrive Mozilla.

Il punto focale della questione è tutto qui: il browser Web assume un ruolo centrale nel verificare gli interessi di ciascun utente e fornirà a terzi, in maniera anonimizzata, informazioni sulle campagne pubblicitarie e sul comportamento tenuto lato client.

Mozilla Firefox integra PPA

Firefox ha aggiunto il supporto per Privacy-Preserving Attribution (PPA), in forma sperimentale, a partire dalla release 128. Con questa soluzione, i siti Web che mostrano annunci pubblicitari possono chiedere a Firefox di ricordare quelle inserzioni. Se l’utente visita il sito Web di destinazione e fa qualcosa considerato abbastanza importante da essere conteggiato (una “conversione”), il sito può chiedere a Firefox di generare un report indicando gli annunci d’interesse.

PPA provvede a inviare le informazioni richieste a un servizio di aggregazione utilizzando il protocollo Distributed Aggregation Protocol (DAP). In questo modo, il sito richiedente non può accedere a informazioni relative ai singoli client ma può beneficiare soltanto di una panoramica sull’efficacia, ad esempio, di ciascuna campagna,

I detrattori sottolineano che i server di aggregazione remoti conoscono comunque i dettagli sui singoli browser e sul comportamento tenuto da ciascun utente. Non solo. Mozilla e il partner no-profit ISRG (Internet Security Research Group), responsabile di Let’s Encrypt, “potrebbero comunque colludere per compromettere la privacy“, dice Jonah Aragon. Improbabile, certamente. Impossibile no. Anche perché chi è che “certifica” la bontà dell’operato di queste realtà, storicamente schieratesi a tutela della privacy?

Accanto a PPA, che è solamente l’ultima proposta concepita da Mozilla insieme con Meta dopo l’acquisizione dell’AdTech Anonym, le alternative famose sono le già citate Privacy Sandbox e AdAttributionKit.

Cos’è AdAttributionKit (Apple)

AdAttributionKit è la soluzione di Apple per l’attribuzione pubblicitaria privacy-friendly nell’ecosistema iOS. Introdotta come parte del framework App Tracking Transparency (ATT) con iOS 14.5 nel 2021, raccoglie l’eredità di SKAdNetwork, che Apple ha presentato nel 2018. SKAdNetwork era la prima soluzione di Apple per gestire il processo di “attribuzione” nel caso delle installazioni di app sui dispositivi mobili.

Gli inserzionisti registrano le loro campagne con Apple, fornendo dettagli come i seguenti: ID della campagna, ID dell’app dell’inserzionista, URL di destinazione. Quando un utente clicca su un annuncio e installa l’app, iOS genera un token di attribuzione crittografato. Alla fine, è possibile misurare le conversioni e comporre un resoconto.

Apple invia poi agli inserzionisti, in forma crittografata, dati come ID della campagna o dell’app, valori di conversione e timestamp approssimativi.

Come funziona Privacy Sandbox (Google)

Google Privacy Sandbox è un’iniziativa che mira a diffondere una nuova tecnologia Web in grado di coniugare il diritto alla privacy con le esigenze di pubblicità mirata e misurazione delle performance. Topics API, parte integrante della “suite”, categorizza gli interessi degli utenti basandosi sulla cronologia di navigazione.

Il browser determina una manciata di argomenti di interesse per l’utente. Quando l’utente visita un sito, il browser rivela fino a tre argomenti. Gli argomenti cambiano settimanalmente e sono conservati solo per tre settimane. Gli utenti di Chrome possono modificare il comportamento della funzione accedendo alla sezione Privacy per gli annunci. Si può farlo rapidamente digitando chrome://settings/adPrivacy nella barra degli indirizzi.

Un altro tassello, chiamato FLEDGE (First Locally-Executed Decision over Groups Experiment), consente il retargeting e la pubblicità personalizzata senza tracciare il comportamento dell’utente attraverso i siti che visita. Gli inserzionisti creano dei “gruppi di interesse”, il browser memorizza questi gruppi localmente e quando l’utente visita un sito con spazi pubblicitari, FLEDGE esegue un’asta locale per determinare quale annuncio mostrare.

Un’apposita API (Attribution Reporting) permette di misurare quando un clic o una visualizzazione di un annuncio portano a una conversione, senza utilizzare identificatori cross-site.

Una babele di soluzioni cookieless

La decisione di accantonare i cookie “per legge” (a dispetto del fatto che i browser già consentivano e consentono di negarne l’uso) ha portato alla nascita di molteplici soluzioni. Che nella maggior parte dei casi non sono compatibili né interoperabili.

Mozilla, ad esempio, a gennaio 2023 ha aspramente criticato Topics API di Google per poi rilasciare la sua soluzione PPA, implementata in collaborazione con Meta.

Insomma, la situazione è ancora estremamente fluida ed è altamente probabile che le aziende impegnate nelle attività di Web marketing adottino le varie soluzioni per non correre il rischio, nel prossimo futuro, di perdere dati importanti. Resta comunque la difficoltà di unire le informazioni provenienti da piattaforme diverse, reciprocamente non interoperabili.

A fine giugno 2024, Criteo ha lanciato una vera e propria bomba. L’azienda ha dichiarato che i loro test sull’implementazione di Privacy Sandbox rivelano alcune carenze che potrebbero causare problemi agli editori. Potrebbero svegliarsi e, all’improvviso, scoprire di aver salutato un enorme 60% delle entrate pubblicitarie. Perché la questione sul tavolo è proprio questa.

Opt-in e informativa

Non tutte le implementazioni lato browser o addirittura motore di rendering utilizzano l’approccio opt-in. In alcuni casi, l’utente viene fatto automaticamente salire sul treno (può comunque esprimere il suo diniego od opt-out).

Non è escluso che le Autorità per la protezione dei dati personali possano iniziare a mettere al vaglio il comportamento dei browser Web, soprattutto nei casi in cui soluzioni di attribuzione e server di aggregazione dei dati fossero utilizzati senza fornire un’adeguata informativa agli utenti.

Alla fine del salmo, si potrebbe arrivare a realizzare che i cari vecchi cookie non erano poi davvero quella “bestia nera” da sconfiggere a tutti i costi. Forse un po’ di consapevolezza e di alfabetizzazione informatica in più avrebbero permesso di risolvere ogni problema.

Credit immagine in apertura: Copilot Designer