privacy e marketing

Tracciati online col “browser fingerprinting”: cos’è e come proteggerci

Il browser fingerprinting presenta pro e contro, Una soluzione ai problemi di privacy sembra essere stata già fornita dalla normativa europea. Resta da vedere se, dal lato pratico, il diritto degli utenti della rete a non essere monitorati senza un consenso preventivo sarà rispettato. Ecco i rischi e come limitarli

23 Ott 2019
Daniela Di Leo

Avvocato specializzato in Privacy e protezione dei dati, Diritto delle nuove tecnologie


Le problematiche relative alla privacy online degli utenti si arricchiscono ogni giorno di nuovi scenari. Se i “cookie” (tecnici, analitici e di profilazione) sono oramai conosciuti anche ai meno esperti in informatica ed a tutti coloro che utilizzano il computer solo per attività extra-lavorative, lo stesso non si può dire per il “fingerprinting” o meglio il “browser fingerprinting” termine che indica un metodo di tracciamento dell’attività online sconosciuto a molti.

Tutti sappiamo che i cookie sono delle informazioni immesse sul browser e memorizzate sul dispositivo quando visitiamo un sito web, utilizziamo un social network con il pc, lo smartphone o il tablet. Ogni volta che visitiamo un sito web, il browser scaricherà i cookie utili in quanto possono rendere più veloce e rapida la navigazione e fruizione del web, ma pochi sanno che anche i browser hanno una loro impronta digitale che consente di riconoscere un utente web con un’efficacia superiore all’80%.

Vediamo cos’è e come funziona il browser fingerprinting e alcuni consigli per limitarlo.

Cos’è e come funziona il browser fingerprinting

Il browser fingerprinting deriva dal concetto della rilevazione ed unicità delle impronte digitali umane. Il presupposto è che la combinazione di varie informazioni consente ad un sito internet di identificare dispositivi o visitatori del sito stesso tramite le impostazioni di configurazione del browser che l’utente utilizza o altre caratteristiche riconoscibili.

Come abbiamo detto il fingerprinting del browser è un metodo in grado di rintracciare gli utenti su Internet. Questo significa che ogni volta che ci connettiamo tramite il computer o lo smartphone, i siti web visitati utilizzano degli script nascosti e raccolgono informazioni sul tipo e la versione del browser, sul sistema operativo, sull’indirizzo IP, sui plug-in attivi, la lingua utilizzata, il fuso orario, informazioni sullo schermo (risoluzione, proprietà del display), set di font, estensioni utilizzate e varie altre impostazioni attive. In parte ciò è dovuto ad aspetti più tecnici, ad esempio al fatto che un sito web deve conoscere la risoluzione dello schermo, in modo che la pagina possa essere caricata nella dimensione corretta della finestra; analogamente, quando si installa una app sul nostro smartphone, il sistema operativo condivide con l’app alcune informazioni relative all’hardware, questo perché una app deve sapere che tipo di cellulare si utilizza in modo che si possa adattare alle sue caratteristiche (velocità del processore, dimensioni schermo).

Tutte queste informazioni fornite dai browser, generalmente condivise di default per far funzionare app e siti web correttamente, permettono di costruire un profilo personale dell’utente e sono quindi utilizzate per identificare gli utenti, proprio come farebbe un’impronta digitale. Meno comuni sono le impostazioni e i dati raccolti, maggiori sono le probabilità di essere riconoscibili e rintracciabili.

Con un numero sufficiente di informazioni raccolte, le impronte digitali possono essere molto affidabili. Diversi studi condotti dai ricercatori della Lehigh University e Washington University hanno dimostrato, utilizzando appositi tools, che le impronte digitali sono state in grado di identificare il 99% degli utenti. Questa tecnica informatica di tracciabilità, per molti, è l’evoluzione dei cookie traccianti, ma a differenza dei cookie, che sono visibili ed eliminabili, le impronte digitali sono invisibili (il monitoraggio avviene senza che ce ne accorgiamo) e le soluzioni per bloccarle sono limitate.

Ci sono dei tool che permettono di scoprire quale sia il livello di identificabilità e quanto il browser utilizzato sia unico, uno di questi è Panopticlick della Electronic Frontier Foundation, basta andare sul sito ed eseguire il test per scoprire quanto il browser utilizzato sia sicuro contro il monitoraggio e se ha un’impronta digitale unica; un altro tool che può essere utilizzato è Amiunique.org, cliccando sul pulsante “View my browser fingerprint”, il browser utilizzato verrà comparato con oltre 700.000 altri browser.

Il monitoraggio da parte dei siti web: pro e contro

Il rilevamento delle impronte digitali non sempre presenta degli aspetti negativi. Nessun problema infatti se le impronte digitali vengono utilizzate per adattare l’interfaccia utente per un dispositivo, per la fornitura di un servizio richiesto. Inoltre, possono essere utilizzate per combattere le frodi o per l’autenticazione dell’utente e la prevenzione delle truffe soprattutto per le banche online e per i siti al dettaglio. Se si effettua un bonifico online, da un dispositivo diverso dal solito, notiamo come la nostra Banca di fiducia si preoccupi di inviarci un messaggio per avvisarci che è stato tentato l’accesso al nostro account da un nuovo dispositivo, magari oltre Oceano.

Appurato che i siti web tengono traccia delle nostre attività online, non bisogna sottovalutare che sia i cookie traccianti che il browser fingerprint pongono dei seri problemi legati alla privacy.

In teoria ed in pratica i gestori dei siti web potrebbero essere in grado di identificare virtualmente un utente, tracciandone il comportamento per più giorni e ricavandone informazioni sui suoi comportamenti, sulle sue abitudini e altro ancora.

Tutte informazioni che come ben sappiamo suscitano l’interesse di gestori di siti e uffici marketing i quali impiegano i risultati ottenuti per ottimizzare le prestazioni del sito e per pianificare la pubblicità mirata.

Il browser fingerprinting e la protezione dei dati

Come abbiamo accennato, il fatto che le impronte digitali possano essere utilizzate non solo per prevenire le truffe o per esigenze tecniche, ma anche per monitorare l’attività online, merita delle riflessioni per quanto riguarda l’incidenza che tali attività hanno nell’ambito della sfera privata degli utenti.

Dal punto di vista della protezione dei dati, le problematiche che riguardano i cookie, che sono utilizzati per finalità diverse da quelle meramente tecniche, ben possono essere estese anche al browser fingerprinting, poiché in entrambi i casi può essere svolta attività di profilazione.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

I cookie sono stati oggetto di regolamentazione normativa già da tempo, sia in ambito comunitario che nazionale, anche il Garante Privacy si è espresso più volte con provvedimenti nei quali ha stabilito il divieto all´installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso. Chi naviga online deve decidere in maniera libera e consapevole se far usare o meno le informazioni raccolte sui siti visitati per ricevere pubblicità mirata.

All’interno del quadro normativo comunitario la disciplina relativa ai cookie ha trovato il suo fondamento nella Direttiva e-Privacy (Dir. 2002/58/CE) che sarà sostituita dal Regolamento e-Privacy. L’oggetto di disciplina di questo nuovo Regolamento sarà il medesimo di quello della Direttiva e-Privacy e riguarderà: il diritto alla riservatezza, la protezione dei dati personali nel contesto della fornitura dei servizi di comunicazione elettronica, nello specifico si occuperà del marketing, dell’ e-Commerce, dei call center, della pubblicità online, oltre che degli operatori Over-The-Top.

Premesso ciò, considerate le similitudini tra cookie e browser fingerprinting, anche per questa tecnica si rende necessaria una disciplina che tuteli la protezione dei dati ed il diritto a non essere oggetto di profilazione e conseguentemente destinatari di pubblicità mirate senza il nostro consenso. Una soluzione a questa esigenza sarà soddisfatta con l’entrata in vigore del Regolamento e-Privacy.

Infatti, il Regolamento prende in considerazione i metadati delle comunicazioni elettroniche (“i dati trattati in una rete di comunicazione elettronica per trasmettere, distribuire o scambiare il contenuto delle comunicazioni elettroniche compresi i dati usati per tracciare e identificare la fonte e il destinatario di una comunicazione, i dati relativi alla localizzazione del dispositivo generati nel contesto della fornitura di servizi di comunicazione elettronica nonché la data, l’ora, la durata e il tipo di comunicazione “) e il loro contenuto nella trasmissione.

I fornitori di servizi di comunicazione elettronica possono trattare i metadati delle comunicazioni elettroniche se:

(a) necessario per soddisfare i requisiti di qualità obbligatorie a norma della [direttiva che istituisce il codice europeo delle comunicazioni elettroniche] o del regolamento (UE) 2015/2120, per la durata necessaria a tal fine; oppure

(b) se necessario a fini di fatturazione, calcolo di pagamenti di interconnessione, rilevamento o arresto di un uso fraudolento o abusivo dei servizi di comunicazione elettronica o di abbonamento agli stessi; oppure

(c) se l’utente finale ha prestato il suo consenso al trattamento dei metadati delle sue comunicazioni per uno o più fini specificati, compresa l’erogazione di servizi di traffico a tali utenti finali, purché il o i fini in questione non possano essere realizzati mediante un trattamento anonimizzato delle informazioni.

L’elemento particolarmente innovativo della bozza di Regolamento e-Privacy è rappresentato dalla disciplina del consenso online: infatti, con esso sono state introdotte nuove disposizioni volte a prevedere quanto segue:

a) obbligo di raccolta del consenso online secondo i criteri del GDPR: il consenso pertanto dovrà essere specifico, esplicito e sempre dimostrabile;

b) obbligo per ogni soggetto che tratta i dati di chiedere periodicamente alle persone fisiche di rinnovare il loro consenso alla commercializzazione: questo deve verificarsi almeno ogni 12 mesi.

Quest’ultima previsione tuttavia risulta essere altamente limitativa nei confronti delle imprese che effettuano marketing digitale dal momento che necessitano ogni anno di un rinnovo del consenso da parte dell’interessato.

Alcuni consigli per limitare il browser figerprinting

Come abbiamo anticipato il browser fingerprinting a differenza dei cookie non si può bloccare, è possibile però mantenere il più bassa possibile la percentuale di riconoscimento del client utilizzato in modo che l’impronta digitale non sia unica e quindi non utilizzabile per il tracciamento.

In attesa che questa nuova tecnologia, di cui poco si è sentito parlare, venga regolamentata adeguatamente è opportuno fornire, qui di seguito, alcuni consigli che possono in ogni caso essere utili.

Cancellare i file temporanei

Di default, i browser conservano numerosi bytes di informazioni sul computer inerenti ai siti che vengono visitati (cache, cookie, cronologia navigazione), buona parte di queste informazioni sono visibili ed utilizzate per scoprire quali siti si visitano e conseguentemente analizzare gli interessi, cancellare periodicamente questi dati farà sì che per questi strumenti sia più difficile monitorare l’attività online, anche se ciò comporta alcuni disagi come dover digitare ogni volta le credenziali di accesso sui vari siti.

Installare plug-in

Una soluzione può essere quella di installare plug-in che disabilitano i tracker. Plug-in come AdBlock Plus, Privacy Badger, Disconnect, DoNotTrackMe e NoScript sono progettati per bloccare gli script che potenzialmente consentono il monitoraggio.

Disabilitare JavaScript e Flash

Sono uno dei metodi più efficaci per proteggersi dal fingerprinting del browser. Quando JavaScript è disabilitato, i siti web non sono in grado di rilevare l’elenco dei plug-in e font attivi che si utilizzano ed inoltre non saranno in grado di installare determinati cookie sul browser. Purtroppo, lo svantaggio di questa disabilitazione è che molti siti non funzionano sempre correttamente, perché vengono anche utilizzati per consentire un’ottimale esperienza di navigazione.

Utilizzare la modalità di navigazione in incognito

Con questa modalità di navigazione è permesso a un utente di navigare in maniera privata utilizzando lo stesso dispositivo o lo stesso account di altri utenti. Nella modalità di navigazione in incognito, un browser non memorizza la cronologia di ricerca, i cookie, la cronologia dei download o le credenziali d’accesso. É bene sapere che la modalità di navigazione privata non consente la navigazione in maniera anonima, elimina le tracce locali, ma l’indirizzo IP e le altre informazioni possono essere rintracciate.

Scegliere con attenzione il browser

Ogni browser in materia di privacy ha un approccio diverso. Il browser di Mozilla, Firefox, blocca i tracker conosciuti sia quando vengono aperte le finestre di navigazione in incognito, sia per le normali sessioni di navigazione. Inoltre, per impostazione predefinita sono bloccate le impronte digitali (andare sul Menù del browser / privacy / “Personalizzato” / “fingerprinters”). Ovviamente, questo non proteggerà da tutti gli altri modi a disposizione che permettono di raccogliere informazioni, ma riduce notevolmente la quantità di dati raccolti.

Google Chrome ha annunciato che limiterà in modo più aggressivo l’impronta digitale sul Web, ma non si sa quando questo avverrà.

Safari della Apple, dall’estate 2018 impedisce la raccolta delle impronte digitali, mostrando informazioni anonime affinché il dispositivo utilizzato sembri uno tra tanti. In pratica, molti Mac e IPhone sembrano uguali e condividono il minimo di informazioni necessarie al sito per caricare correttamente le pagine (ad esempio, se si utilizza MacOS 10.14.5, il browser dirà al sito web solo che si sta utilizzando MacOS 10.14.); questo è possibile se si stanno utilizzando delle versioni recenti dei sistemi operativi di IPhone e Mac.

Tor Browser consente di navigare mantenendo l’anonimato, attraverso la rete Tor (The Onion Router), prima di giungere alla destinazione finale il traffico viene diretto in modo causale attraverso una rete di server, allo scopo di proteggere l’identità; prima che entrino nella rete Tor, i dati vengono raggruppati in strati di pacchetti criptati, che vengono indirizzati attraverso una serie di server (nodi); ogni volta che i dati passano attraverso uno di questi nodi viene rimosso uno strato di cifratura che svela il nodo successivo fino ad arrivare al nodo finale. Il nodo di uscita rimuove lo strato finale di cifratura dei dati, non potrà accedere alla posizione originale né all’indirizzo IP, ma se si visita un sito web HTTP non protetto, un nodo di uscita potenzialmente potrà spiare l’attività svolta. Il sistema è efficace per nascondere la propria posizione e prevenire il tracciamento del traffico web, tuttavia, è vulnerabile agli stessi attacchi cui sono soggetti gli altri browser ed è molto lento nel funzionamento.

Utilizzare un servizio di VPN

Un altro modo per evitare il monitoraggio invadente è mediante l’uso di una connessione VPN. Con questo tipo di connessione tutti i dati sono protetti con crittografia end-to-end, inoltre il server VPN sostituisce gli indirizzi IP con i propri, che cambiano ad ogni connessione. Sebbene le VPN mascherino l’indirizzo IP, non necessariamente proteggono dai localizzatori e dagli annunci pubblicitari. [2]

Conclusioni

Come abbiamo visto questa nuova tecnologia presenta dei vantaggi e degli svantaggi, in teoria la disciplina normativa europea sembra aver già fornito una soluzione alle problematiche sulla privacy, resta da vedere se, dal lato pratico, il diritto degli utenti della rete a non essere oggetto di monitoraggio ai fini marketing senza un preventivo consenso, sarà tutelato adeguatamente. Gli strumenti tecnici a disposizione per provare a proteggere la nostra identità online esistono, magari utilizzati singolarmente non ci aiutano, ma combinandoli tra loro è possibile essere il meno possibile riconoscibili. L’obiettivo dell’anonimato assoluto a detta degli esperti è un obiettivo impossibile da raggiungere, ma abbassare il livello di “individuabilità” consente almeno di diventare “uno tra i tanti” navigatori del web.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articoli correlati