Quando visitiamo un sito per la prima volta ci troviamo immediatamente a contatto con richieste di adesione “accetti tutti i cookie?” per il tracciamento dei nostri dati; ma cosa sono i cookie? A cosa servono? Quali accettare? Abbiamo intervistato Emanuele Zangarini per rispondere a queste domande e proporvi dei suggerimenti d’uso

Cosa sono i cookie

Si tratta di una sorta di tesserino identificativo che, a login effettuato, riconosce l’utente salvando informazioni sul suo dispositivo; queste informazioni (es. siti più visitati, pagine più visualizzate, contenuti preferiti) rimangono sul dispositivo finché non vengono cancellate dall’utente o dal browser stesso, dato che ogni cookie ha una data di scadenza.

cookies_code img

La spunta sulla casella Ricordami presente in molti form di login allunga il più a lungo possibile la scadenza del cookie in modo da non far perdere il login; alcuni siti mettono già scadenze molto lunghe per evitare che gli utenti debbano introdurre troppo spesso la password, ma altri siti aggiungono cookie senza una azione esplicita dell’utente.

I cookie con scadenza lunga sono alla base del successo di comunità online, social, siti di e-commerce, ma soprattutto pubblicità. Un cookie, infatti, può essere impostato anche senza effettuare il login, semplicemente visitando una pagina che mostra della pubblicità o una casella in cui compaiono gli ultimi articoli o contenuti video di un social.

Questi sistemi possono essere talmente raffinati da adattarsi al contenuto delle pagine, mostrando ad esempio una pubblicità di un’automobile su un sito di appassionati di motori, ma anche riconoscendo gli utenti in base alle visite precedenti

Questa rete di controllo potrebbe estendersi su più siti per il fatto che i fornitori di pubblicità e i grandi operatori sono relativamente pochi e spesso uniti da accordi sullo scambio di dati.

Dato che Internet è diventato un archivio globale dove si può trovare di tutto, dalle ricette di cucina alle informazioni sanitarie, questa rete nata per mostrare la pubblicità migliore agli utenti giusti (ad esempio proposte di offerte o notizie in base all’entità delle ricerche precedentemente effettuate o previsioni meteo in base alla nostra posizione) rischia di esporre a degli operatori i dati sensibili degli utenti come religione, idee politiche o orientamento sessuale.

Cookie e privacy

Visto che i cookie hanno sollevato dubbi riguardo la privacy degli utenti, perché da un lato profilando le nostre preferenze e abitudini potrebbero agevolare la navigazione, ma dall’altro potrebbero nuocere, proponiamo oggi delle buone pratiche da seguire.

Dal 25 maggio 2018 è in atto il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679), che sostituisce la legge italiana sulla protezione dei dati (ufficialmente Direttiva 95/46/EC). 

Secondo la Commissione Europea i dati personali sono:

“…qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.”

Per questo motivo anche i cookie devono essere trattati come dati personali e nel rispetto della privacy è necessario il consenso dell’utente.

Questo spiega perché compaiono quei popup sui cookie alla prima visita del sito, ma quali accettare? 

Quasi tutti i siti permettono di scegliere se accettare o rifiutare i cookie, tendenzialmente sarebbe meglio evitare di accettare tutto (di solito cookie necessari per la profilazione, cookie ai fini statistici, marketing) e/o rifiutare tutto; infatti, non accettare almeno i cookie necessari alla navigazione potrebbe avere un impatto negativo sull’usabilità di molti siti.

Come difendersi

È possibile difendersi da questo monitoraggio di massa agendo sui cookie? 

Va detto che i cookie sono solo uno degli strumenti usati a fini di tracciamento e profilazione, quindi la risposta vera è no. 

L’indirizzo IP è una impronta sufficientemente forte abbinata ai dati degli operatori da essere usata come prova nei procedimenti giudiziari, e la sua traccia rimane talmente a lungo che se provate a chiedere la rimozione totale dei dati personali ad un qualsiasi operatore telefonico vi sentirete rispondere che quei dati rimarranno a disposizione delle autorità. Scoraggiante.

Escludendo i dispositivi mobili, sui quali è estremamente difficile operare, si può però limitare lo scambio di dati fra i vari servizi usando un mix di strumenti e buone abitudini nella navigazione sui laptop e sui desktop.

Plugin, browser e suggerimenti per la navigazione

Su un browser i cookie possono essere “inscatolati” in scatole diverse, a patto che si segua l’abitudine di aprire la scatola giusta durante la navigazione. Ogni scatola non potrà vedere i cookie che stanno nelle altre, quindi l’effetto rete dei vari operatori sopra descritto si ridurrà sensibilmente.

Sul browser Chrome il modo per farlo è usando i profili, un meccanismo un po’ scomodo quando lo si approccia la prima volta perché necessita l’apertura di una nuova finestra, ma che effettivamente compartimenta i cookie per ogni profilo. Però, scegliendo di associare quel profilo ad un account Google sarà previsto comunque un tracciamento globale legato a quel profilo, magari usato anche sullo smartphone, quindi l’effetto si vanifica.

plugin firefoxSu Firefox invece esiste un plugin talmente efficace da essere citato nell’ultima edizione del corposo manuale Open Source Intelligence Techniques (Michael Bazzell, p. 33).

Si tratta di Multi-Account containers: questo plugin permette anche nella stessa finestra di aprire tab che non condividono i cookie fra loro. È possibile aggiungere un’icona e un colore ad ogni profilo, che potrà essere gestito indipendentemente dagli altri. 

Da soli gli strumenti servono a poco, cambiare le abitudini nella direzione di una navigazione consapevole è indispensabile

multi account containersSi può decidere di aprire automaticamente un sito in uno specifico container. Ad esempio, se si volesse visitare un sito di e-commerce, si potrebbe aprire direttamente nel container “Shopping”; in questo modo non condividerà i cookie con il container dei social, riducendo la possibilità che compaiano le pubblicità delle ultime cose acquistate anche durante l’uso dei social. Buona pratica sarebbe lasciare ciascun social in un container diverso. 

Queste soluzioni permettono anche di loggarsi contemporaneamente al medesimo sito con due account diversi a patto che vengano aperti su container o profili diversi. Ad esempio, volendo mantenere l’accesso con due account di twitter o di instagram, basterà aprirli in due container diversi per essere loggati contemporaneamente con i due profili.

Navigare mentre si è loggati con il proprio profilo è funzionale perché, come ad esempio avviene su Netflix o Amazon, vengono suggeriti contenuti affini alle ricerche precedenti e probabilmente di nostro interesse.

E la navigazione anonima? In realtà, si preoccupa solo di fornire una scatola vuota che si riempirà di cookie man mano che si visitano i siti. Bisogna chiudere fino all’ultimo tab perché la scatola torni a svuotarsi e l’effetto rete rimarrà per tutta la navigazione.

Ogni browser permette di configurare il proprio comportamento riguardo ai cookie e/o di cancellarli: però, cancellando i cookie si rischia la disconnessione da tutti i servizi e sarà necessario ricordare le password per entrare nuovamente

In ogni caso, niente paura: tenendoli in profili o container separati si potranno comodamente recuperare durante la navigazione successiva.