I cookie sono dei piccoli file che il browser salva sul computer o dispositivo dell’utente durante la navigazione su Internet.
I siti web memorizzano nei cookie informazioni che abilitano determinate funzionalità avanzate e di personalizzazione.
Ad esempio, i dati che servono al server web per riconoscere lo stato di autenticazione di un visitatore (se ha eseguito o meno il log-in) e ad associare un account personale all’utente.
Il primo caso d’uso dei cookie è di tipo tecnico: abilitare il funzionamento della piattaforma tecnologica su cui si basa un sito web, o di alcune delle sue funzionalità.
I cookie servono poi per offrire esperienze personalizzate agli utenti del sito. E, tra i principali casi d’uso, per le attività di marketing digitale.
Quando si parla di cookie è importante fare un’altra distinzione. I cookie cosiddetti first-party sono quelli del sito che stiamo visitando: per intenderci, quello indicato nella barra del browser.
I cookie third-party (di terze parti) hanno origine da domini diversi dal sito che stiamo visitando. Tipicamente, sono quelli utilizzati dalle piattaforme di marketing e di advertising per tracciare gli utenti e proporre, in base al loro comportamento online, offerte commerciali mirate.
È principalmente sui cookie third-party che si è negli ultimi anni acceso il dibattito pubblico sulla necessità di un web cookieless, che non faccia cioè utilizzo di cookie per il tracciamento degli utenti.
Ed è sempre sui cookie third-party che si è focalizzata anche l’attenzione delle istituzioni pubbliche di regolamentazione.
Regolamentare il trattamento dei dati
I cookie di terze consentono di tracciare il comportamento dell’utente leggendo i suoi percorsi sul web e le sue abitudini di navigazione. Sistemi basati su di essi abilitano un tipo di analisi che permette di delineare il profilo degli utenti, i loro gusti, le loro preferenze, finanche di evincere dati sensibili.
Vi è mai capitato di fare una ricerca, ad esempio, per una cuffia Bluetooth, e di essere da quel momento in poi inondati di annunci e proposte commerciali per cuffie Bluetooth?
Verrebbe da pensare: finché si tratta di prodotti – che peraltro possono interessarci –, non c’è poi troppo di cui preoccuparsi, se vengono rispettati certi limiti.
Ma il fatto che le nostre ricerche sul web su temi sensibili – quali, ad esempio, la salute, le opinioni politiche, l’orientamento religioso, i comportamenti sessuali – possano diventare oggetto di analisi di aziende che nemmeno conosciamo e con cui non abbiamo mai interagito direttamente, allora qualche campanello di allarme è giusto e opportuno che si accenda.
E infatti le preoccupazioni riguardanti la privacy online degli utenti ha portato le istituzioni governative e gli enti di regolamentazione a occuparsi di questo territorio virtuale che correva il rischio di diventare un vero e proprio far west digitale.
In questo ambito, l’Europa ha svolto un ruolo anticipatore e di riferimento, con un intervento regolatore che è diventato un modello a livello internazionale.
Del GDPR (General Data Protection Regulation) abbiamo parlato diffusamente su 01net: si tratta del regolamento dell’Unione europea, rinforzato dagli interventi dei singoli Paesi membri, sul delicato tema del trattamento dei dati personali.
Dopo il GDPR, un’altra tappa importante nella tutela della privacy online è il California Consumer Privacy Act (CCPA), entrato in vigore all’inizio del 2020.
Norme del genere si stanno diffondendo: ad esempio, LGPD è la nuova legge brasiliana sulla protezione dei dati personali.
Conformità e mercato
Come più evidente effetto pratico per gli utenti finali, gli sviluppatori e gli addetti al marketing, questi interventi normativi hanno imposto ai siti web che fanno uso dei cookie una maggiore trasparenza e la richiesta del consenso esplicito da parte dei navigatori.
Si tratta di quegli avvisi informativi che, all’apertura di un sito nel browser, presentano all’utente i dettagli sull’uso dei dati di navigazione e sul tipo di cookie impiegato.
In questi alert, all’utente viene chiesto, prima di continuare la navigazione del sito, di accettare esplicitamente le policy sui cookie del sito stesso. L’utente può ora anche personalizzare il tipo di cookie da abilitare (e quale, invece, non consentire).
Oltre alle implementazioni richieste dalle ultime normative, sono poi sempre più numerosi gli strumenti a disposizione degli utenti, sia integrati nei browser sia sotto forma di estensioni, per controllare e limitare i cookie di terze parti, il tracciamento e gli ad.
Sembra proprio che sia stata dunque irrevocabilmente imboccata la strada di un web cookieless. E i maggiori player tecnologici hanno abbracciato – più o meno di buon grado – questo trend.
Quando si tratta di Internet, è praticamente impossibile prescindere da Google. Soprattutto in questo ambito, Big G è tra i maggiori player (in alcuni casi con una predominanza schiacciante) sia nella ricerca e nella navigazione web, sia tra le piattaforme di online advertising e analytics.
Google e la prospettiva di un web cookieless
Dal punto di vista tecnico, il team di sviluppo del browser Chrome ha realizzato un sistema di classificazione tra cookie first-party, o same-site, e cookie third-party, o cross-site, con un approccio nella gestione dei cookie più sicuro e attento alla privacy.
Anche Google ha espresso l’intenzione di voler contribuire – con la sua iniziativa Privacy Sandbox – alla costruzione di un web cookieless e più privato, e per questo di voler abbandonare l’utilizzo di cookie di terze parti.
Questo percorso è stato graduale, con alcune interruzioni dovute alla pandemia di Covid-19. In un primo momento doveva arrivare a compimento, nella timeline di Google, con la fine del supporto per i cookie di terze parti a partire dall’inizio del 2022.
Siccome questo nuovo approccio avrà un forte impatto sia dal punto di vista tecnico che di business su tutto il settore, e in considerazione del fatto che la pandemia ha rallentato molte attività, la timeline è stata successivamente aggiornata, più di una volta.
Per Chrome ora l’obiettivo di Google è quello di completare il deployment delle tecnologie chiave entro la fine del 2022 affinché la community degli sviluppatori possa iniziare ad adottarle.
Successivamente, Chrome potrebbe poi eliminare gradualmente i cookie di terze parti in un periodo di tre mesi, a partire dalla metà del 2023 e fino alla fine del 2023.
L’ultimo aggiornamento prevede dunque, per Chrome, il phase out del supporto per i cookie third-party per un periodo di tre mesi che si concluderà alla fine del 2023.
Google non si è limitata a sviluppare un sistema che blocchi dal punto di vista tecnico e renda obsoleti i cookie third-party, ha anche proposto un’alternativa.
L’alternativa di Google ai cookie
La tecnologia alternativa si chiama FLoC, acronimo di Federated Learning of Cohorts, e – secondo Google – fornisce un meccanismo che preserva la privacy e al contempo abilita la selezione degli ad pubblicitari basata sugli interessi degli utenti.
Come funziona FLoC? In sintesi, spiega Google: mentre un utente si muove sul web, il suo browser utilizza l’algoritmo FLoC per elaborare la sua “interest cohort“, che sarà la stessa per migliaia di browser con una cronologia di navigazione recente simile.
Il browser ricalcola periodicamente la coorte sul dispositivo dell’utente, senza condividere i dati di navigazione individuali con il fornitore del browser o chiunque altro.
Con FLoC, gli inserzionisti possono scegliere come target i browser appartenenti a una o alcune tra le migliaia di coorti che riuniscono utenti con interessi comuni, per mostrare gli ad rilevanti.
Questo sistema non consente di distinguere i singoli individui di una coorte né condivide dli identificativi degli utenti.
Tuttavia, si tratta di una soluzione che finora non sembra aver suscitato molti entusiasmi. Da un lato, i professionisti del marketing continuano a fare previsioni catastrofiche sull’impatto del futuro cookieless sui business online.
Dall’altro, molti specialisti di privacy hanno espresso dubbi sull’algoritmo che sottende il sistema FLoC e sull’utilizzo delle coorti che comunque potrebbero fare le piattaforme di advertising.
Secondo Electronic Frontier Foundation, organizzazione no-profit internazionale per la difesa delle libertà civili nel mondo digitale, FLoC non è affatto una buona idea e, mentre i cookie di terze parti si stanno avviando verso la loro fine, Google sta cercando di creare il loro sostituto.
Questa tecnologia – secondo la EFF – eviterà i rischi per la privacy dei cookie di terze parti, ma ne creerà di nuovi. Potrebbe addirittura esacerbare altri problemi ancora peggiori con gli annunci comportamentali.
Superare i cookie di terze parti
Ci sono altre realtà, anche all’interno del settore dell’advertising, che stanno esplorando possibili alternative all’uso dei cookie di terze parti.
Ad esempio la società californiana di digital advertising The Trade Desk ha lanciato l’iniziativa Unified ID, che punta allo sviluppo di un framework open source interoperabile, per un ID costruito a partire da indirizzi email criptati, che introduca miglioramenti significativi per la privacy e la trasparenza.
La soluzione di identità online Unified ID 2.0 vuole rappresentare un superamento dei cookie che preservi il valore della pubblicità pertinente, migliorando al tempo stesso il controllo da parte dei consumatori.
Per gli operatori del settore del marketing e dell’advertising, il timore è però non solo nell’efficacia di tali soluzioni. Ma risiede anche nel fatto che il superamento dei cookie ti terze parti, che era ormai diventato uno standard, potrebbe portare a una frammentazione tra numerose soluzioni diverse.
Del resto, la strada verso un mondo cookieless, pur con gli inevitabili rallentamenti lungo il percorso, è ormai segnata.
E non si limita al web. Pur con le differenze tecniche e implementative tra le diverse piattaforme, il tracciamento degli utenti è un sistema adottato anche nelle app mobili.
Sul dare una stretta al tracciamento nelle app il ruolo di precursore e maggiore sostenitore è senza dubbio da attribuire ad Apple.
A partire da iOS e iPadOS 14.5, Apple ha implementato la funzione App Tracking Transparency progettata per tutelare la privacy e dare maggiore controllo agli utenti. Questa infatti richiede alle app di ricevere l’autorizzazione esplicita dell’utente prima di tracciare i suoi dati attraverso app o siti web di proprietà di altre società.