Privacy, Apple traina tutti verso una nuova era: quali impatti sul mercato - Agenda Digitale

scenari

Privacy, Apple traina tutti verso una nuova era: quali impatti sul mercato

Apple viaggia a vele spiegate nel suo percorso volto a migliorare la tutela privacy dei propri servizi, creando non pochi timori negli inserzionisti ma anche nei concorrenti costretti a inseguire. Ecco le ultime mosse e le risposte di Google e Facebook

15 Giu 2021
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

Apple ha ancora brutte novità in serbo per chi vive di pubblicità online. E sono buone novità, però, per i valori della privacy.

Se le novità di iOS14.5 guardavano solo al mondo delle app su ecosistemi di Apple, gli annunci su iOS15 e le recenti evoluzioni di Safari ai danni dei cookie di terze parti investono tutto il resto di internet. E questa spinta ha impatti non solo per gli utenti Apple, ma anche per gli utenti Windows e Android, in quanto Apple sta riuscendo a spingere nella stessa direzione pro privacy anche Microsoft e persino Google.

Privacy, Google insegue (controvoglia) Apple: un passo avanti ma la trasparenza è lontana

La nuova stretta privacy di Apple

Apple, quindi, ora procede a vele spiegate per la sua strada di crescente garanzia della privacy degli utenti, innescando le preoccupazioni di un numero di inserzionisti e data broker sempre maggiore (che vanno ad aggiungersi a Facebook)

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Nel corso della WWDC21 (la conferenza Apple dedicata agli sviluppatori), Cupertino ha esteso le proprie iniziative a tutela della privacy a tutto l’ecosistema software prodotto dall’azienda in quanto, stando al Keynote dedicato all’argomento, Apple crede che “la privacy sia un diritto umano fondamentale”.

Mail

La prima delle novità presentate riguarda le email. Nel programma mail di Apple sarà infatti introdotta la cosiddetta Mail Privacy Protection, attiva di default e che consente, a detta di Apple, di eliminare il pixel tracking.

Pixel tracking: cos’è, come viene regolato e quali sono i rischi per l’utente

Questo sistema è utilizzato da numerosissime aziende per conoscere quando e quante volte un’email è stata aperta e sfrutta il fatto che le immagini presenti nelle email (e può trattarsi di un’immagine visibile nel messaggio ma anche semplicemente di un singolo pixel sostanzialmente invisibile all’utente) non sono “contenute” nel messaggio stesso ma sono scaricate al momento dell’apertura dell’email dal client di posta da un server esterno.

È quindi sufficiente che in questi server sia inserito uno strumento in grado di tracciare quando viene richiesto il download di un file immagine e da chi proviene la richiesta per ottenere dati importanti sul destinatario della comunicazione.

Questo consente ad esempio a chi fa campagne marketing di individuare gli utenti attivi, di inviare email concatenate al momento giusto ed anche di intuire gli interessi dei consumatori sulla base delle aperture del messaggio.

La soluzione per evitare questo problema è semplice e consiste nel non far caricare al nostro client email le immagini contenute nelle email ricevute (come accade di default sulla stragrande maggioranza dei client di posta quando si riceve una comunicazione filtrata nella cartella spam), ma è chiaro che si tratta di una soluzione scomoda in quanto ad oggi le email sono arricchite dal contenuto multimediale che contengono e a volte sono addirittura incomprensibili se questo contenuto manca.

Per evitare di dover ricorrere a questa soluzione all’evidenza scomoda Apple ha pensato di aggirare il problema consentendo il download degli elementi multimediali contenuti nell’email, ma nascondendo l’indirizzo IP di chi chiede di scaricare tali elementi e la sua posizione geografica e impedendo quindi al mittente di ricondurre ad uno specifico destinatario l’apertura del messaggio.

É chiaro che il sistema non funziona se il pixel tracking è rivolto unicamente a tracciare l’apertura di una mail con singolo destinatario (o con pochi destinatari), ma è anche vero che la tecnica del pixel tracking è utilizzata per la gestione di grandi masse di email ed è molto difficile pensare che un intermediario possa gestire efficacemente un messaggio con immagini “personalizzate” per singolo destinatario.

Safari

L’altra novità presentata da Apple lo scorso 7 giugno riguarda il blocco della trasmissione degli indirizzi IP. Safari, infatti, sia nella versione desktop che in quella mobile, smetterà di condividere l’indirizzo IP e la posizione del dispositivo. Questo cambiamento è essenziale in quanto dopo la prima stretta di vari browser (Safari in primis) sui cookie di terze parti alcune aziende hanno puntato con forza su tecniche di browser fingerprinting, le quali hanno come dato chiave proprio quello dell’indirizzo IP. Eliminando questo dato il browser fingerprinting deve basarsi su caratteristiche strutturali del dispositivo che, almeno quando si parla di dispositivi Apple, non consentono di tracciare un profilo particolarmente dettagliato del singolo utente.

App

Apple ha inoltre in programma di introdurre il cosiddetto App Privacy Report, una nuova sezione delle impostazioni che consente di avere un controllo più dettagliato sull’utilizzo dei permessi concessi alle varie applicazioni. In particolare il sistema consente di vedere quanto spesso le varie app utilizzano i permessi che sono stati loro accordati nonché i domini di terze parti che sono stati contattati dall’app (soluzione che ad oggi consente di verificare in alcuni casi con sufficiente precisione chi sono i destinatari dei dati, ma che un domani gli sviluppatori di applicativi particolarmente preoccupati di condividere questi dati potrebbero facilmente nascondere dietro domini non riconducibili all’effettiva terza parte contattata).

iCloud+ e la VPN

Al termine del keynote in tema privacy Apple tradisce la propria stessa premessa (la privacy come diritto umano fondamentale) e presenta un nuovo servizio in cui la privacy è “offerta” come prodotto premium a pagamento.

Una nuova versione premium del servizio di archiviazione iCloud, chiamata iCloud+, include una funzionalità chiamata Private Relay, che in buona sostanza, oltre a crittografare il traffico, lo reindirizza attraverso più server per offuscare l’indirizzo IP così da prevenire il fingerprinting a trecentosessanta gradi. Di fatto si tratta di una sorta di VPN inclusa nel pacchetto iCloud+

Se questo prodotto si diffondesse (e Apple è intenzionata a proporlo gratuitamente a tutti gli utenti che hanno acquistato pacchetti di archiviazione aggiunta a iCloud) porterebbe ad una inedita diffusione di una navigazione web assimilabile a quella su VPN, cambiando radicalmente le prospettive degli inserzionisti per una fetta significativa (e tra l’altro verosimilmente benestante) della popolazione.

Tornando al “tradimento” di Apple rispetto alla sua premessa il servizio non sarà disponibile in tutti i paesi e, tra i paesi in cui non sarà presente rientra la Cina, paese in cui un’offerta commerciale del genere avrebbe creato non pochi attriti con il governo locale (stando a quanto riporta Reuters gli altri paesi che non riceveranno iCloud+ sono Bielorussia, Colombia, Egitto, Kazakistan, Arabia Saudita, Sud Africa, Turkmenistan, Uganda e Filippine).

Una ulteriore interessante feature in iCloud+ è il servizio che consente di nascondere il proprio indirizzo email, creando alias usa e getta che reindirizzano la corrispondenza al client dell’utente.

La risposta di Google

Google (che è costretta a seguire Apple in un processo doloroso per il proprio modello di business) avanza nella stessa direzione dell’azienda di Cupertino (anche se resta indietro) e promette innovazioni a tutela della riservatezza degli utenti.

Contattato dopo la notizia delle novità presentate da Apple al WWDC21, un portavoce dell’azienda di Mountain View ha risposto confermando che anche Google sta prendendo in considerazione un’evoluzione software tesa a bloccare gli indirizzi IP nel suo browser Chrome.

Google ha inoltre promesso che dalla fine del 2021 eliminerà l’ID annunci dal Play Store per gli utenti che disattiveranno la funzione degli annunci personalizzati (ad oggi anche se si disattivano gli annunci personalizzati Google continua ad utilizzare l’ID annunci per altre funzionalità, con la conseguenza che questo è visibile alle altre app sul dispositivo).

La nuova funzione entrerà in vigore dapprima sui dispositivi con a bordo Android 12 e in seguito verrà diffusa sugli altri dispositivi con OS Android, l’identificatore sarà sostituito da una stringa di zeri.

Le modifiche a FLoC

L’azienda di Mountain View ha inoltre promesso modifiche al suo sistema Federated Learning of Cohorts (FLoC), un progetto che si fonda su meccanismi di intelligenza artificiale al fine di “superare” i cookie di terze parti lasciando però nelle mani degli inserzionisti uno strumento efficace per la personalizzazione delle inserzioni.

Il nuovo sistema, che dovrebbe sostituire i cookie di terze parti su Chrome (sebbene infatti il progetto sia aperto anche all’implementazione su altri browser l’accoglienza da parte dei competitors è stata molto fredda) ha suscitato però l’attenzione delle autorità antitrust (quello di Google è infatti il browser più diffuso al mondo) e per questo l’azienda americana ha aperto un dialogo con l’autorità inglese (CMA Competition and Markets Authority), proponendo una serie di misure che, se ritenute sufficienti, saranno implementate a livello globale.

In primo luogo, Google ha promesso maggiore trasparenza e che condividerà i risultati dei test (origin trial) che sta effettuando su FLoC nonché di quelli di eventuali tecnologie connesse o concorrenti.

L’azienda intende inoltre garantire che non implementerà altre tecnologie di tracciamento individuale (che darebbero a Google un vantaggio indebito rispetto alla concorrenza, relegata al sistema FLoC, più impreciso) e che tutte le innovazioni tecnologiche proposte nel progetto Privacy Sandbox (che include FLoC) non conterranno corsie preferenziali per Google.

La CMA ha dichiarato che intende accettare le misure proposte da Google, ma ha aperto una consultazione che durerà fino all’8 luglio in proposito.

Come disattivare la sperimentazione di FLoC su Chrome

Se da un lato Google promette modifiche e assume impegni, dall’altro, però, prosegue a ritmo serrato con la sperimentazione ed infatti nei giorni scorsi sui dispositivi Android è comparso il menù relativo al Privacy Sandbox, segnale che presto l’”origin trial” di FLoC si espanderà a molti altri dispositivi.

Ecco “FLoC”: ovvero come Google controllerà il web fingendo di tutelare la privacy

Nonostante le diffuse critiche alla proposta di Google (che a differenza di Apple sta cercando una soluzione di compromesso fra privacy degli utenti e interessi degli advertiser) il colosso di Mountain View sta quindi proseguendo nello sviluppo del progetto, la cui sperimentazione ad oggi coinvolge una parte minima degli utenti Chrome.

Google sta però preparando il terreno per i prossimi step ed ha già inserito nelle versioni di Chrome per Android un menù che consente agli utenti di scegliere se aderire o meno alla sperimentazione.

Il problema è che Google ha automaticamente compilato l’adesione alla sperimentazione tutti gli utenti che, sul proprio browser, hanno abilitato i cookie di terze parti ritenendo (con un’interpretazione un po’ lasca della normativa GDPR in tema di protezione dei dati personali) che essendo il trattamento effettuato tramite il Privacy Sandbox meno invasivo l’autorizzazione ai cookie di terza parte possa essere estesa al meccanismo FLoC.

È comunque possibile per gli utenti fare opt-out dalla sperimentazione aprendo Chrome, cliccando sul menù (tre puntini), quindi su “Impostazioni”, “Privacy e Sicurezza” e su “Privacy Sandbox” dove è presente un toggle per disattivare la sperimentazione. Come nell’immagine di seguito:

È inoltre disponibile un portale (amifloced.org) in cui è possibile verificare se il proprio browser è stato incluso o meno nella sperimentazione.

I problemi di Facebook

Le mosse di Apple e Google stanno mettendo in seria difficoltà Facebook, il cui modello di business rischia di essere stravolto dalle decisioni dei produttori degli OS mobili su cui trionfano le app social della casa di Palo Alto.

Per cercare di uscire da questa situazione difficile Zuckerberg ha annunciato il lancio di una nuova funzionalità per dimostrare ai content creators (di eventi online e del servizio di news che verrà creato da Facebook) quanto Google e Apple “costano” loro quando diffondono eventi o iniziative a pagamento.

Facebook, al contrario, non chiede provvigioni ai creators (o, almeno, non lo farà fino al 2023 quando introdurrà provvigioni comunque inferiori a quelle di Apple e Google).

Facebook, quindi, reagisce al severo scrutinio privacy a cui è sottoposto spostando l’attenzione sui costi economici di questa sicurezza che gli utenti cercano, anche se la strategia sembra difficile da sostenere in un contesto in cui tutti ricordano il triste caso Cambridge Analitica e la superficialità del social network di Zuckerberg nella tutela dei dati in quell’occasione.

Le prospettive per il business pubblicitario

La sfida a “colpi di riservatezza” fra i colossi tech USA prosegue con Apple che stacca i concorrenti con una serie di annunci in cui dimostra di aver preso una direzione chiara (seppur con qualche se e qualche ma) verso una tutela progressivamente più incisiva della privacy degli utenti. Dove ci porterà?

Apple, del resto, ha avuto modo di toccare con mano quanto “costoso” possa rivelarsi uno scandalo privacy, ne sono testimoni la notizia, riportata di recente dal Telegraph, di una causa chiusa con un risarcimento milionario nel 2016 nella quale una studentessa dell’Oregon aveva agito contro Apple lamentando di essersi ritrovata con le proprie foto esplicite pubblicate su Facebook dopo aver portato il suo iPhone al centro assistenza autorizzato Apple.

Apple ha dovuto pagare (e ha cercato di non dare pubblicità alla vicenda, riuscendoci per cinque anni finché di recente in una successiva controversia assicurativa che ha coinvolto il centro di assistenza non è stato fatto il nome di Apple) anche perché non aveva previsto un sistema per erogare assistenza senza lasciare la password di accesso al dispositivo ai tecnici.

Quello che colpisce nelle recenti evoluzioni è la continua opera di Apple intesa a migliorare la tutela privacy dei propri servizi (fatta cercando di influire il meno possibile sulla qualità e fluidità del servizio offerto), le ultime mosse del colosso tech sono importanti perché coinvolgono a trecentosessanta gradi l’ecosistema dei prodotti dell’azienda, portando con sé una potenziale rivoluzione nel mondo dell’advertising.

Non solo Facebook, ma anche altri intermediari come i data broker rischiano di vedere ridimensionato il proprio ruolo in un mondo in cui non è più possibile sapere con certezza a chi si stanno offrendo in vendita i prodotti e servizi degli inserzionisti.

Anche gli altri produttori di browser puntano nella stessa direzione, con Google che segue il trend (pur controvoglia) e contribuisce quindi a cambiare il mercato e ad un futuro dove, forse, vedremo meno annunci personalizzati (se lo vorremo) e nuovi modelli di business svilupparsi online, c’è solo da augurarsi che i produttori di OS reagiscano speditamente (su pressione delle parti sociali) a nuove forme di intrusione nella privacy degli utenti.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4