Uno degli argomenti piu' dibattuti su internet, per il quale i sostenitori della privacy ad ogni costo si stracciano le vesti, e' la presenza di pubblicita' sui loro siti preferiti.
Come si suol dire, pur avendo questi personaggi il cuore al posto giusto, quando si tratta di parlare tecnicamente e con precisione dell'argomento, finiscono con il partorire minestroni fra pubblicita', tracciamento, violazioni della privacy e chi piu' ne ha piu' ne metta, generando un'entropia tale da rendere qualsiasi discussione assolutamente inutile.
Sotto molti punti di vista, e' innegabile che i vari servizi online (Facebook, Google, ma anche i minori) abbiamo deciso che il cosiddetto "targeted advertising" sia molto piu' remunerativo del cercare di far sottoscrivere un'abbonamento ai loro utenti. I portali che io considero onesti, richiedono direttamente una sottoscrizione a pagamento oppure, come nel caso di ArsTechnica, offrono la possibilita' sia di pagare per una sottoscrizione, per non vedere advertising di sorta, che di fruire del contenuto "gratuitamente", ma accettando di vedere la pubblicita'.
Personalmente, trovo la seconda pratica assolutamente accettabile. D'altronde, siti affidabili di informazione, giornalistica o meno, devono avere ricavi sufficenti a compensare uno staff professionale e preparato e coprire una spesa per IT ingente se il sito e' particolarmente visitato.
Ora, gli opliti del bene si divertono a scherzare citando la possibilita' di richiedere donazioni per far andare avanti la baracca e come esempio portano Wikipedia. Il problema e' che per una Wikipedia, ci sono altri diecimila siti interessanti che faticano a sbarcare il lunario e con le donazioni, notoriamente scarne, non ci paghi uno staff degno di questo nome. Basti guardare al mondo del software Open Source per farsi un'idea della situazione.
E' innegabile che, a parte siti web o blog strettamente personali, in un modo o nell'altro lo staff e l'infrastruttura a supporto devono essere pagati. Non ho mai visto nessuno, pur spinto da puri ideali, essere in grado di mettere il pane in tavola grazie alla sola Gloria.
Perche' dico che questi paladini della privacy stanno confondendo pere con mele? Per capirlo e' necessario fare dei distinguo fra:
La pubblicita', intesa come l'annuncio di un "qualcosa" fine a se stesso, si puo' definire in modo tutto sommato semplice: e' l'atto, da parte di un'azienda o un singolo, di tentare di convincere delle persone a comprare i loro prodotti o servizi. Se pensiamo ad un classico annuncio, io "venditore" acquisto uno o piu' slot in TV, su una o piu' riviste o giornali e perche' no, anche su uno o piu' siti web. In questi slot piazzo il mio annuncio il quale, alla fine, verra' trasmesso, o stampato su determinate pagine di una rivista o visualizzato sul browser di un utente quando naviga il mio sito e sperando, alla fine, di convincere piu' persone possibile a correre ed acquistare quello che vendo, qualsiasi cosa sia.
E' ovvio che, in questo caso, piu' pregiati sono le TV, le riviste ed i siti web dove voglio esporre la mia pubblicita', maggiori saranno le probabilita' che la mia campagna pubblicitaria abbia successo e che il mio prodotto verra' acquistato.
Ovviamente, per ottimizzare il ROI del mio investimento, potro' avvalermi di indagini di mercato, analisi statistiche e altre tecniche atte ad ottimizzare la mia campagna pubblicitaria. Il messaggio e' chiaro: una TV, rivista o sito mi mette a disposizione uno spazio, diviso in fasce orarie o simili ed io scelgo di acquistare uno o piu' slot che, penso, aiuteranno al meglio a vendere i miei prodotti. Parlando in particolare di un sito web, se questo offre ANCHE un'opzione a pagamento senza pubblicita', il sito considera i propri utenti come loro clienti. Se invece offre esclusivamente esperienze con presenti delle pubblicita', e' chiaro che il vero cliente della piattaforma non sono io utente, ma i pubblicitari che il sito vorra' attirare. In ogni caso, qui non vi e' tracciamento compulsivo, non vi e' davvero quello che consideriamo "targeted advertising", solo un sito web che sara', forse, noioso da consultare.
Se entriamo invece nel mondo del "targeted advertising", possiamo considerare due forme di targeting: quella tradizionale che, come menzionato, coinvolge il fare ricerche di mercato PRIMA di piazzare le pubblicita', oppure il targeting dell'economia digitale moderna, dove i dati vengono forniti dalle piattaforme stesse e le agenzie pubblicitarie possono raffinare il target di popolazione ai quali mostrare il proprio babbilamme.
Tanto per fare un esempio, in un contesto "normale" nessuna agenzia pubblicitaria si sognerebbe di pubblicizzare giochi per bambini il mattino di un giorno feriale. I bimbi saranno a scuola, non potranno guardare la TV e naturalmente, sono i bambini le persone influenzabili che tenteranno di convincere mamma e papa' a comprargli il nuovo robot sparatutto destroyer 3000 (anche se le mamme convincono i mariti a spendere fantastillioni in prodotti scadenti come Dyson). Questa e' si' una forma di targeting, pero' richiede robusto lavoro di gambe da parte dei pubblicitari e questo prima di mettere la campagna in TV, o sui giornali (come anche online).
Per quanto possiamo discutere dei trick psicologici attuati, non considero questa forma di pubblicita' malvagia, solo noiosa in molti contesti. Non stanno prendendo i miei dati, probabilmente i pubblicitari faranno riferimento a dati su un campione statistico di pubblico dominio e possiamo dire, non stanno violando la mia privacy in alcun modo particolare.
Ma con l'avvento dei moderni social network, come anche delle moderne reti di advertisement online, queste dinamiche sono cambiate.
Quando un utente interagisce con un sito web, non sono tanto i suoi dati ad essere interessanti per i pubblicitari, ma i metadati generati sia dal suo dispositivo, come anche dalla sua interazione con le varie pagine del sito stesso. Sistema operativo, indirizzo IP, quali pagine sono state visitate, quali ricerche sono state fatte, la velocita' di digitazione, la velocita' della sua connessione. Tutto viene preso in considerazione e sorprendentemente usando solo questi metadati, e' possibile costruire un profilo shadow di una persona estremamente accurato da poter vendere, sotto forma di dati aggregati, ai pubblicitari. Nessun PII e' stato usato ed essendo sostanzialmente solo metadati, nessuna violazione della privacy, in teoria, e' avvenuta. Un sito come facebook puo' dedurre che tu sei negro solo dai metadati forniti, senza bisogno di saperlo direttamente.
I pubblicitari, poi, non fanno altro che dire, tramite una dashboard: "mostra i dildo da 36cm, solo alle donne negre della negromasia citeriore, con eta' compresa fra i 25 ed i 35 anni". Successo! Ai pubblicitari costera' molto meno gestire una dashboard, invece di dover fare tutto il lavoro richiesto in precedenza e la piattaforma del caso, mostrera' un bel dildone solo alle donne che ritiene appartenenti al profilo desiderato.
Ora i nostri eroi diranno: "ecco! questo e' malvagio!". Ni, nel senso che se questa pratica e' limitata a quando io utente navigo su quello specifico sito, non vi trovo nulla di malvagio. Alla fine, se uso Facebook, IO ho scelto di usarlo ed IO ho accettato la sua EULA (che richieda il mio primogenito in sacrificio o meno). Questa specifica forma di profilazione, se applicata da un servizio verso i propri utenti esclusivamente quando questi navigano attivamente sul sito di quel servizio specifico, e' totalmente accettabile. Immorale? Magari si, secondo alcuni, ma la responsabilita' di quello che si fa ricade sempre sull'utente finale e l'aver accettato le condizioni d'uso rende qualsiasi protesta vuota, mio modo di vedere.
La situazione diviene, secondo me, inaccettabile, quando si introduce la frase "tracciamento compulsivo". Mentre ritengo il servirmi pubblicita' specializzate, grazie ai dati raccolti esclusivamente quando uso un servizio, una pratica accettabile, sapere che un sito come facebook puo' costruire uno shadow profile su di me, grazie ai metadati che ho accettato di lasciare su ALTRI siti quando non ho MAI usato il loro servizio attivamente, e' tutta un'altra storia.
La domanda che sorge spontanea e': io ho davvero accettato i termini di servizio di, per dire, Facebook, permettendogli di raccogliere dati su di me, quando l'unica cosa che ho fatto e' stato navigare siti contententi l'icona di Facebook ed il suo Javascript embeddato? Come posso aver accettato l'EULA di Facebook se non mi sono mai iscritto a Facebook stesso? Come avrei fatto a dare il permesso a Facebook di raccogliere dati su di me, quando non ho mai accettato le loro condizioni? Possiamo dire con certezza che questa sia una pratica legale, nel paese dove vivo? Da cittadino Europeo, conformemente al GDPR ed al diritto all'oblio, posso dire ad un servizio del quale non ho mai accettato l'EULA, di eliminare tutti i miei dati come vuole la legge?
Al momento, e' dura provare che un sito o servizio abbia dati su una determinata persona senza che questi abbia accettato i termini di uso. E' questa asimmetria ad essere inaccettabile ed in questo specifico caso, chi usa strumenti come adblock o noscript non e' decisamente criticabile, considerando io stesso questa specifica pratica assolutamente deplorevole. Tant'e' che, per la maggior parte dei siti che visito, noscript ed adblock sono attivati.
Guardando poi i risultati a livello di prodotti suggeriti, ho idea, come sostenuto da altri, che se i vari Facebook, Amazon, Google & Co. mi chiedessero direttamente con una survey che cosa mi interessa, otterrebbero un targeting migliore.
Come si comportano poi i siti web? Beh, al giorno d'oggi, aprite un qualsiasi sito gratuito sostenuto esclusivamente da pubblicita' ed osserverete la vostra CPU iniziare a sudare. L'uso di un adblocker, in quel caso, e' totalmente giustificato.
Nessuno, puo' permettersi di far sudare il mio amato processore.