Con il provvedimento conosciuto con l’appellativo di cookie law, l’Europa e i Garanti Privacy avevano sentito il bisogno – già nel 2015 – di regolamentare l’utilizzo di uno degli strumenti più “gettonati” per memorizzare informazioni sui sistemi client da recuperare nel breve, medio o lungo termine. Utilizzando cookie condivisi tra più siti web, uno stesso soggetto può sapere esattamente – ad esempio – quali indirizzi sono stati visitati nel corso del tempo e stilare una sorta di resoconto sugli interessi e le preferenze di ciascun utente o comunque degli utenti che sfruttano lo stesso browser web con eguale profilo.
Nell’articolo Cookie law: analisi dei chiarimenti del Garante avevamo segnalato, anni fa, alcune criticità manifestandole anche alle Autorità e osservando come alcune soluzioni legislative – a nostro avviso – rischiavano di penalizzare i singoli editori (al solito i più corretti, trasparenti e onesti nei confronti dei rispettivi lettori).
Basti verificare quali e quanti cookie di profilazione vengano comunque rilasciati su alcuni siti web prima ancora che il visitatore abbia accettato il disclaimer mostrato in bella vista.
Dopo alcuni tentativi falliti, come l’introduzione del meccanismo Do Not Track nei principali browser web, ormai in corso di dismissione (vedere Do Not Track: la funzionalità è morta e vi spieghiamo perché), Google fa presente di voler bloccare automaticamente in Chromium/Chrome il caricamento di tutti quei cookie di terze parti (quindi non quelli usati sui singoli siti web per finalità prettamente tecniche) che non rispetteranno le regole.
L’approccio che sarà introdotto nel browser viene illustrato in questo articolo: in breve, Chrome provvederà ad analizzare il contenuto dell’attributo SameSite, descritto nel dettaglio qui.
Ogni cookie dovrà insomma descrivere in quali ambiti viene utilizzato permettendo agli utenti l’eliminazione dei cookie superflui mantenendo, ad esempio, quelli necessari per la gestione automatica di procedure di login e carrelli dei siti di ecommerce.
Il problema, come abbiamo più volte evidenziato, è che non esistono solo i cookie per tracciare gli utenti online. Anzi, l’utilizzo di meccanismi di fingerprinting – che non coinvolge l’uso di cookie – è sempre più diffuso.
Combinando lo user agent trasmesso dal browser con una serie di parametri aggiuntivi acquisibili dopo aver stabilito una sessione con il server web remoto (si può arrivare a raccogliere caratteristiche sull’hardware usato sul client), la tecnica del fingerprinting attribuisce un identificativo univoco al sistema client usato dall’utente, indipendentemente dalla sua tipologia, fattore di forma e sistema operativo installato.
Un recente studio ha messo in evidenza che le misure anti-fingerprinting che alcuni browser hanno iniziato a usare sono di fatto inefficaci: Le misure anti fingerprinting nei browser sono inutili: utenti comunque riconosciuti.
Google afferma che Chrome integrerà anche una protezione anti-fingerprinting particolarmente efficace ma al momento non ne chiarisce il funzionamento.
Mozilla ha reso dichiarazioni molto simili: Firefox proteggerà la privacy degli utenti usando una nuova tecnologia anti fingerprinting.