Cookie. La spia
che ci amava. Troppo
Progettati per migliorare e accelerare l'utilizzo di internet, i cookie si prendono gioco della privacy di ciascuno di noi. Ogni utente della rete dovrebbe cercare di capire (e di controllare) queste insidiose cyberspie
The Independent 12 luglio 2011
Cookie, la spia che ci amava. Troppo
Progettati per migliorare e accelerare l'utilizzo di internet, i cookie si prendono gioco della vostra privacy. Ogni utente della rete dovrebbe cercare di capire (e di controllare) queste insidiose cyberspie. Stephen Foley de L'Independent vi spiega come
No, non siete paranoici. E' vero. Vi seguono. Date un'occhiata. Da qualche parte sul browser, alla voce "privacy" (su Firefox per esempio), c'è la lista dei cookie che i siti che avete visitato - anche solo una volta - hanno istallato sul vostro computer e che, molto probabilmente, torneranno alle mega aziende cacciatrici di dati che li hanno generati e che stanno mettendo insieme i pezzi del vostro profilo.
Per sapere chi siete, cosa vi interessa e cosa fate di solito in rete.
Ecco una lista delle aziende che hanno istallato cookie sul mio, di computer: aCerno, AdBrite, Adconion, Adify Media, Adgear, Adinterax, AdMeld, Aggregate Knowledge, Akamai, Audience Science…
E sono solo l'inizio della lista, in ordine alfabetico.
Non ho idea di quali informazioni contengano questi cookie, né di quando me li abbiamo istallati, figuriamoci di quando verranno riattivati.
Non so nemmeno nelle mani di chi di preciso finiranno tutti questi dati.
L'unica cosa che so è che non so un bel niente di nessuna di queste aziende, né sono mai stato sui loro siti. Certo saranno tutte aziende rispettabili e in regola con la legge, tutte osservanti delle norme sul rispetto della privacy; resta il fatto che mi piacerebbe sapere qualcosina di più sul perché stanno sul mio computer e che ci fanno. E già che ci siamo, si può sapere cosa cavolo sono questi benedettissimi cookie?!
A seguire, la breve storia di quelle poche righe di codici, che hanno cambiato la rete e, di conseguenza, il mondo. Leggerete una storia dai mille risvolti e con qualche lato oscuro, perché è il racconto di come certi poteri si fanno forti della nostra ignoranza, mettendo a rischio la nostra privacy come mai prima.
Ma ci troverete anche la nuova generazione di specialisti, che cerca di darsi da fare per proteggerci, e ciò che i nostri governanti potrebbero doversi trovare a fare se quelli di cui sopra non riescono nella loro missione.
Però, prima di tutto e sopra tutto, qui si parla di cosa ciascuno di noi deve sapere per proteggere se stesso.
In principio erano solo parole.
Parole con forse qualche immagine qua e là. Navigare in internet era solo saltare di pagina in pagina come se la rete fosse un qualsiasi libro. Il libro più vasto di tutti i tempi, d'accordo, ma comunque sempre un po' ...fermo. Nulla di ciò che oggi ci sembra normale - la vivace interattività, i siti che si caricano alla svelta e che si ricordano chi siete e che vi permettono di comprare cose grazie a pagine personalizzate con un numero di carta di credito memorizzato da qualche parte, fino alle notizie e alle previsioni del tempo - si poteva fare.
E sto parlano di "solo" 17 anni fa, ma ‘diciassette anni fa’ in termini tecnologici è preistoria.
O se non proprio preistoria, diciamo AC, Avanti Cristo.
Anzi, Avanti Cookie.
In quel tempo il problema era che i siti non si ricordavano niente; da una pagina all'altra non sapevano più chi eravate, quali informazioni base avevate scambiato, cosa vi interessava.
"Un sito era poco più di un documento Word. Non si muoveva niente" dice Lou Montulli, l’ingegnere informatico che, nel 1994, appena laureato, contribuì alla fondazione di Netscape, il primo browser capace di ‘ammorbidire’ con un discreto successo molte delle asperità del rapporto PC - Web.
"Con Netscape il web è diventato interattivo. I cookie contribuirono molto a questo risultato: permettevano ai siti internet di avere "ricordi". In pratica hanno preso parte attiva nel fare della rete quello che è oggi".
Comunque sia Montulli mette i cookie abbastanza giù nella lista delle sue invenzioni per Netscape. "Erano tempi di grande euforia, quelli. Si cominciava a sentire nell’aria il potenziale reale della rete. La nostra era un’azienda molto seria; forse noi non eravamo uomini d'affari di gran fiuto, ma siamo stati noi a portare avanti gran parte della tecnologia che oggi sembra lì da sempre".
Resta il fatto che quando Montulli chiama la redazione de l'Independent per l'intervista, si presenta come "il tizio dei cookie", citando la sua invenzione migliore.
Un cookie non è che poche righe di codice, che un sito web manda al computer dell'utente. Contiene un codice identificativo irripetibile e l'ordine di essere rispedito al mittente ogni volta che l’utente si collega con le pagine del sito che lo ha generato.
In pratica l'equivalente di un saluto: "Ciao, sono io".
Era la soluzione che Montulli aveva trovato per quei partner di Netscape, che volevano realizzare siti di e-commerce. Senza cookie quei "proto Amazon" non avrebbero ricordato cosa il cliente aveva messo nel carrello acquisti.
Fu subito chiaro però che non appena venuto al cyber mondo, il cookie avrebbe creato un sacco di problemi. Montulli già sapeva che l’utilizzo dei cookie sarebbe andato ben oltre l'e-commerce ("era stato progettato come strumento di lavoro generico, una specie di coltellino svizzero", dice oggi). E si sapeva già che avrebbe dato qualche grattacapo per il rispetto della privacy...
Nel 1994 la soluzione del problema della "memoria" dei siti fu la creazione di un codice identificativo per ogni browser di Netscape, avrebbe permesso di tracciare un utente ovunque fosse e qualsiasi cosa stesse facendo sul web.
"I cookie sono stati un tentativo di circoscrivere piccole quantità di informazioni da condividere" spiega Montulli. "Anzi, a dire il vero i cookie hanno fatto molto per proteggerci rispetto ad altre tecnologie".
E fu così che tutti si scatenarono a usare il nuovo strumento: non solo i siti che volevano tenere traccia di chi capitava sulle loro pagine, ma anche i pubblicitari.
A differenza di quanto succede per la carta stampata, dove l'annuncio spedito dall'inserzionista viene pubblicato su una certa pagina a cura dello staff del giornale, in rete i messaggi pubblicitari vengono iniettati direttamente dagli "advertising network".
Fateci caso la prossima volta che capitate su una connessione internet lenta: mentre aspettate che si carichi la pagina che vi interessa, leggerete da qualche parte in basso "trasferimento dati da..." e "in connessione con...".
E’ lì che c’è scritto da dove tutto arriva.
DoubleClick, oggi di proprietà di Google, è stato uno dei pionieri; altri, dopo, sono spuntati come funghi. Anche loro hanno preso a inviare cookie insieme agli annunci, un po’ come soluzione tecnica (per avere la certezza che la reclame andasse a buon fine e per capire se il consumatore interagisse o no con essa, cosa finalizzata al pagamento dello spazio), e un po’ per immagazzinare dati mentre l'utente passava di pagina in pagina e di sito in sito entro lo stesso network. Una volta in possesso delle informazioni, gli advertising network potevano compiere scelte mirate nell’indirizzare la pubblicità, tenendo conto di dove stava l'utente e di altri particolari, quali sesso, età e interessi, ottenuti attraverso le abitudini di navigazione. La differenza di utilizzo dei cookie da parte dei siti, dove l’accettazione dell’utente potrebbe essere implicita, e degli advertising network, dove sono invece invisibili e sconosciuti per l'utente, generarono immediate polemiche. Ogni tentativo di vietare i cookie di terzi, o quantomeno disabilitarli, però, finiva con l’essere inibito e sviata da alleanze tra browser, e tra loro ai tempi anche Microsoft, e le società di pubblicità stesse.
Dave Kristol, che al tempo cercò di descrivere le specifiche tecniche per cookie e browser che li generavano/ricevevano, ricorda che a un certo punto si trovò circondato da potenti fazioni su tutti i fronti.
"Trovare delle regole giuste per tutti, che rispettino le posizioni di ciascuno è molto difficile, come in ogni regime democratico", scriveva nel 2001, dopo oltre cinque anni di lavoro. "E’ per questo che apprezzo gli sforzi che vengono fatti quando si devono scrivere le leggi, senza ascoltare la voce delle lobby, per quanto influenti possano essere".
Le polemiche della fine degli Anni ‘90 e dei primi (terribili) Anni Zero fecero anche il loro rumoroso ingresso al Congresso degli Stati Uniti, mettendo in moto minacce di leggi ad hoc. I titoli sui giornali, poi, allertarono i cani da guardia della privacy, per i quali cancellare quotidianamente i cookie dal computer e restringere i termini di protezione dei dati erano ormai diventate un'abitudine, come le faccende di casa.
Editori internet e advertising network capirono, tanto da impegnarsi per un codice di autoregolamentazione. I siti web presero allora a pubblicate le "privacy policy", tramite le quali rendevano noto cosa avrebbero fatto o non fatto con i dati raccolti tramite cookie; allo stesso tempo, gli advertising network continuavano ad assicurare, con una certa circospezione, che tutti i profili individuali sarebbero rimasti anonimi, mai riconducibili a un nome.
Un passettino avanti, insomma.
Gran parte dei browser hanno continuato però a permettere i cookie di terzi in default, a patto che i suddetti arrivassero solo da "siti certificati".
Dall'altra parte, però, l'industria pubblicitaria e una nuova generazione di agenzie di ricerche di mercato, hanno continuato a metter su enormi archivi di dati sugli utenti della rete.
Negli ultimi anni, lo sviluppo del web ha fornito a questi signori strumenti che non avrebbero nemmeno sognato dieci anni fa. Tutti quanti stiamo molto di più in internet, condividiamo un sacco di cose, e forniamo di tutto e di più a chi se ne va per il cyber spazio a raccogliere le informazioni che lasciamo in giro. I siti web contengono video, foto, giochi, social-network e annunci in quantità, che arrivano da fonti diverse, tutti con un bel set di cookie o di strumenti affini al seguito.
Per volume e diffusione, il giro della raccolta dati vi potrebbe dare alla testa. Uno studio del 2009 dell'Università di Berkeley ha riscontrato una media di dodici tracker, cacciatori di dati, su ognuno dei 100 siti più popolari. Uno ne aveva più di cento al mese; un utente, cioè, che visitava quel sito si trovava addosso, non saprei quanto consapevole, cento entità diverse che prendevano nota della sua visita. C’era anche una società di pubblicità che poteva monitorare le attività su 91 dei 100 siti più popolari, e l'88% dei 350 mila siti esaminati da Berkeley…
A giugno di quest’anno il gigante inglese della pubblicità, WPP, si vantava di aver creato il più vasto database di comportamenti telematici individuali: i profili di 500 milioni di persone, ovvero quasi il 100% di chi usa internet nei Paesi serviti da quell'agenzia: Regno Unito, USA, Australia e altri otto. Si tratta di dati raccolti dai maggiori siti e network mondiali, oltre ai dati regolarmente acquistati dalle agenzie di ricerca e studio tradizionali, che raccolgono informazioni dal mondo reale, tipo ‘cosa acquistano le persone di solito nei negozi delle strade eleganti’.
Tutte informazioni raccolte e rese anonime prima di essere aggiunte a quelle fornite dai cookie.
Ashkan Soltani, ricercatore su questioni legate alla privacy, coautore dello studio di Berkeley, in una relazione davanti al Congresso americano ha detto che il processo di tracking online è diventato così sofisticato che gli advertising network sono in grado di spedire la pubblicità di un farmaco antidepressivo a chi ha digitato in un certo sito la parola "depressione", e che la ricerca è andata avanti al punto che è ormai facile identificare il singolo anche se il suo profilo contiene informazioni anonime.
Anzi, come se non bastasse, gli advertising network sembrano essere sempre un passo avanti rispetto al più evoluto e più attento alla privacy degli utenti.
Oggi c'è addirittura chi usa i cosiddetti "flash cookie", generati dai siti che usano Flash di Adobe, capaci di ripristinare i cookie eliminati.
Ma veniamo alle buone notizie. I siti web mieteranno 86 miliardi di dollari dalla pubblicità online quest'anno, visto che il mercato ha dirottato il budget sulla rete, attratto dalle opportunità pubblicitarie mirate e selezionate in base alla cyber-storia individuale di ciascun utente.
Sono tutti soldi che serviranno per pagare gli sconfinati contenuti della rete, che per chi naviga sono gratuiti. Senza quel denaro la qualità (e forse anche la quantità) dei suddetti contenuti verrebbe compromessa.
Ecco perché l'ultima generazione dei ‘David Kristol’ sta cercando la quadra con l'utilizzo sistematico dei cookie di terzi, per far sì che l'utente sappia chi è che effettivamente li usa. C'è da dire anche che tutti, editori, pubblicitari e network, sono al lavoro per darsi delle regole, visto che Unione Europea e Congresso degli Stati Uniti incombono sempre.
Ecco perché chi fa i browser (Firefox, Microsoft e Google compresi) ha presentato nuove applicazioni, come la navigazione anonima o le opzioni di non tracciabilità. Sarà, semmai, difficile coinvolgere tutti ad adottare tecnologie che restringano sì l'utilizzo dei cookie su indicazione dell'utente, ma che non impediscano tutto il bene che comunque deriva dagli stessi amati-odiati cookie.
Nel Regno Unito l'implementazione di una direttiva europea che prevede il consenso dell'utente per l'accettazione di cookie è stata rimandata di un anno, cioè a maggio 2012, per permettere le innovazioni tecniche.
"Mi pare interessante che i browser commerciali si stiano adoperando per la tutela della privacy. Nel 1996 la situazione era diversa di molto" dice Kristol. "Oltre tutto i browser stanno lavorando tutti insieme. Non me lo sarei mai aspettato allora”.
Anche l'industria pubblicitaria sta cercando soluzioni pro-utente e ha creato due siti, Network Advertising Initiative e Digital Advertising Alliance, ai quali ci si può rivolgere per sapere di chi sono i cookie che possono trovarsi sul computer. Nonostante ciò, i pubblicitari continuano ad avere un paio di conigli nel cappello a tutela della propria attività, per esempio dare la possibilità di cancellarsi dagli annunci pubblicitari mirati senza essere cancellati dai mega database.
D’altra parte, la tecnologia usata per assicurare che i network ricordino che quel determinato utente si è cancellato non è che …un altro cookie.
Chi abitualmente cancella i cookie dal computer in nome della privacy potrebbe anche scoprire di vedere la suddetta violata nonostante tutte le precauzioni.
Il ‘tizio dei cookie’ guarda alla sua creatura con un certo orgoglio. "Anch'io ho difficoltà a capire come vengano usati di volta in volta; e so anche è difficile controllarne l'utilizzo" dice Montulli. "Ma se uno davvero vuole oggi li può tenere sotto controllo. Perché sono stati progettati così"