Nel 2021 Apple ha introdotto App Tracking Transparency (ATT), una funzionalità del sistema operativo iOS che permette agli utenti, che prima dovevano districarsi tra interfacce confusionarie, di impedire con un solo click qualunque tracciamento, evitando quindi che qualsiasi app presente sul loro smartphone possa raccogliere dati personali a fini pubblicitari senza il loro consenso esplicito.
La funzionalità introdotta in iOS, il sistema operativo di iPhone e iPad, fornisce un servizio che, nell’internet dominata dal capitalismo della sorveglianza, rende una gran fetta di utenti più protetti. E questo l’ha resa particolarmente apprezzata: si stima infatti che il 75% degli utenti iOS la utilizzi.
Eppure ATT, in Italia e in altri paesi europei, potrebbe avere vita breve: “In Apple crediamo che la privacy sia un diritto umano fondamentale e abbiamo creato la funzionalità di App Tracking Transparency per offrire agli utenti un modo semplice per controllare se le aziende possono tracciare le loro attività su altre app e siti web. Una funzionalità accolta con entusiasmo dai nostri clienti e apprezzata dai sostenitori della privacy e dalle autorità per la protezione dei dati in tutto il mondo”, si legge in un comunicato. “Non sorprende che l’industria del tracciamento continui a opporsi ai nostri sforzi per dare agli utenti il controllo sui propri dati”.
ATT rischia di sparire
Nonostante il favore degli utenti, ATT è infatti oggetto in Italia di un’indagine dell’Autorità Garante della Concorrenza e del Mercato, che secondo diversi osservatori arriva dopo una forte pressione da parte dell’industria pubblicitaria. Le aziende del settore sostengono che la funzione sia “abusiva” perché duplicherebbe i consensi già richiesti dal GDPR. Apple respinge l’accusa e afferma che la normativa europea dovrebbe essere un punto di partenza, non un limite, e che ATT offre un livello di controllo più chiaro e immediato.
La decisione dell’AGCM è attesa entro il 16 dicembre e rischia di privare i consumatori di un prodotto informatico, ATT, che non solo è più funzionale dei singoli banner, ma che si potrebbe definire “naturale”: nel momento in cui tutte le app hanno bisogno di una stessa funzione (in questo caso, richiedere il consenso degli utenti alla profilazione) è più logico integrarla nel sistema operativo e offrirla in un’unica versione standard. ATT fa proprio questo: porta la richiesta di consenso al tracciamento a livello di sistema.
Nonostante ogni utente abbia il diritto di prestare o negare il consenso all’utilizzo dei suoi dati personali per fornire pubblicità mirata o rivenderli ai cosiddetti data broker, la semplicità d’uso di ATT di Apple rappresenta la differenza tra un consenso spesso “estorto” da interfacce appositamente convolute e opache e un consenso informato, libero, revocabile.
In base al GDPR, il regolamento europeo sulla protezione dei dati, ogni applicazione può trattare i nostri dati personali solo se esiste una delle sei basi giuridiche previste dalla legge. Tra queste, il consenso è quello più comunemente utilizzato. Poiché permette di effettuare una scelta in modo chiaro e semplice, l’ATT ha rapidamente raccolto l’effettivo interesse degli utenti, mostrando in maniera coerente come si può ottenere ciò che i vari garanti europei hanno chiarito nel tempo, ovvero che “rifiutare dev’essere facile quanto accettare”.
La strategia di Apple
Ma Apple ha fatto un altro passo avanti: non ha offerto ATT ai programmatori di app, ma l’ha imposta. Ha reso questo consenso necessario, al pari di quello che deve chiedere un’app quando, per esempio, vuole accedere alla localizzazione o al microfono. È direttamente il sistema operativo, sia in iOS sia in Android, che permette di scegliere se fornire o meno, per esempio, l’accesso al microfono al videogioco che abbiamo appena scaricato. In questo modo, lo spazio di manovra per trarre l’utente in inganno si riduce molto: possiamo vedere in una volta sola quali sono le app che richiedono quel privilegio e revocarlo a tutte in ogni momento.
Immaginiamo gli esiti nefasti che si sarebbero verificati nel mercato mobile se ogni app avesse potuto accedere, tramite formula ambigue per il consenso, a periferiche come microfono, localizzazione, cartelle e rubrica. È proprio per evitare questa situazione che i programmatori dei sistemi operativi hanno dato il controllo agli utenti, limitando di conseguenza la presenza di spyware e profilazione invasiva.
La possibilità di bloccare facilmente l’accesso a periferiche così delicate, soprattutto quando scarichiamo app dalla reputazione dubbia, ci dà un senso di protezione. Perché con il tracciamento dovrebbe essere diverso? Siamo certi che fornire l’accesso al microfono permetta di ottenere dati molto più rilevanti di quelli che si possono avere tramite la profilazione? In realtà, il tracciamento e la cessione di informazioni ai data broker dovrebbero evocare la stessa percezione di rischio. E quindi essere soggette, come fa in effetti l’ATT, a un simile trattamento a livello di consenso.
Una periferica è una porzione del sistema operativo: un’app può accedervi soltanto se le è stato concesso questo privilegio, altrimenti non ha modo di farlo. La garanzia del controllo delle aree più delicate di un sistema operativo è un elemento fondamentale della sicurezza informatica.
Il blocco al tracciamento, invece, è un insieme di misure tecniche: impedisce il fingerprinting (una tecnica che permette di identificare in modo univoco un utente o un dispositivo) e l’accesso all’Identificatore Unico Pubblicitario (un codice anonimo assegnato dal sistema operativo a ciascun dispositivo mobile, che permette alle app di riconoscere l’utente a fini pubblicitari), oltre a costringere lo sviluppatore a esplicitare gli obiettivi del trattamento dati, pena la rimozione dall’Apple Store. Non è impossibile aggirare questi divieti, ma una funzione come ATT, che permette di attivarli con un’unica scelta, lo rende molto più complesso.
I miliardi persi da Meta
Per capire la posta in gioco: Meta ha affermato che ATT sarebbe stato, nel solo 2022, responsabile di una perdita pari a 10 miliardi di dollari (circa l’8% del fatturato 2021), causando una caduta in borsa del 26%. Il Financial Times stimò invece che, nel solo secondo semestre 2021, l’ATT introdotto da Apple fosse la causa di 9,85 miliardi di inferiori ricavi complessivi per Snap (la società del social network Snapchat), Facebook, Twitter e YouTube, segnalando l’ampiezza dell’impatto sull’intero ecosistema pubblicitario.
Nel suo report del 2022, lo IAB (Interactive Advertising Bureau, un’associazione di categoria delle aziende pubblicitarie e della comunicazione) menziona già nell’introduzione come la colpa di queste perdite sia in primo luogo dell’ATT e in secondo luogo del regolamento della California sui dati personali. Questo aspetto ci aiuta a mappare il conflitto: i diritti e il consenso vengono considerato come degli avversari da questi soggetti, che – nel tentativo di recuperare i miliardi perduti – sono disposti a mettere in campo tutto il loro potere legale, fino ad arrivare a un’interpretazione del diritto che dovrebbe essere un caso di studio.
In Europa, la privacy sul banco dell’antitrust
In diverse nazioni europee, in seguito alle denunce di associazioni di categoria, sono infatti state intentate cause contro Apple per “abuso di posizione dominante”. Non è però chiaro dove sia il beneficio diretto di Apple, visto che anche le sue applicazioni devono rispondere all’ATT e quindi anche Apple deve chiedere il consenso per servire pubblicità personalizzata. Apple potrebbe al massimo avere un beneficio indiretto, penalizzando i principali concorrenti – i cui introiti provengono dalla pubblicità – mentre si avvantaggia dalla vendita di dispositivi promossi come “privacy first”.
Una delle interpretazioni fornite dalle associazioni di categoria è che gli sviluppatori di applicazioni terze debbano essere in grado di usare il loro form per la richiesta del consenso. Questo, però, ci porta ad affrontare un problema noto: quello dei dark pattern o deceptive design (interfacce ingannevoli), ovvero strategie di design che spingono l’utente a compiere scelte non pienamente consapevoli, per esempio rendendo più complesso rifiutare il tracciamento o l’iscrizione a un servizio rispetto ad accettarlo.
Dark pattern: perché la forma decide il contenuto
Come scrive Caroline Sinders, “le politiche per regolamentare Internet devono fare i conti con il design”, perché interfacce e micro-scelte grafiche possono “manipolare invece che informare” e svuotare principi come il consenso: “I dark pattern sono scelte di design che confondono gli utenti o li spingono verso azioni che non desiderano davvero”. E fanno tutto ciò, tipicamente, rendendo molto facile dire di sì e invece complesso o ambiguo dire di no.
Non si tratta di astrazioni. Nel 2024, NOYB (il centro europeo per i diritti digitali) ha analizzato migliaia di banner di consenso in Europa, documentando schemi ricorrenti e misurabili: se il pulsante “rifiuta” non si trova nel primo livello del banner, solo il 2,18% degli utenti lo raggiunge. Non solo: rifiutare richiede in media il doppio dei passi rispetto ad accettare.
Tra le pratiche “dark pattern” più comuni troviamo inoltre: link ingannevoli per il rifiuto (inseriti nel corpo del testo mentre per accettare è presente un pulsante ben visibile), colori e contrasti che enfatizzano l’ok e sbiadiscono il no, caselle preselezionate, falso “legittimo interesse” (con cui un’azienda dichiara di poter trattare i dati senza esplicito consenso) e percorsi per la revoca più difficili del consenso.
Il Digital Services Act (DSA), in vigore dal 2022, ha portato nel diritto dell’UE il lessico dei dark pattern e ne vieta l’uso quando interfacce e scelte di design ingannano o manipolano gli utenti, aprendo la strada a linee guida e strumenti di attuazione dedicati. In concreto, il DSA prende di mira alcune pratiche precise, come la ripetizione delle richieste anche dopo che una scelta è già stata espressa. Nella tassonomia accademico-regolatoria più aggiornata, questo comportamento corrisponde al pattern “nagging”, cioè l’interruzione insistente che spinge l’utente verso un’azione indesiderata.
Un documento rivelatore, da questo punto di vista, è An Ontology of Dark Patterns, che fornisce strumenti utili a riconoscere dark pattern, dar loro un nome preciso e idealmente a poterli misurare, così da effettuare reclami dove possibile e magari riuscire, a colpi di sanzioni, a limitarli.
Nonostante il DSA sancisca a livello concettuale il divieto dei dark pattern, le autorità o i cittadini che volessero effettuare reclami dovrebbero poter misurare la difficoltà dell’interfaccia e rendere obiettivo il giudizio. Questa è la parte più difficile: da un lato non puoi distinguere un dark pattern dal cattivo design; dall’altro, le piattaforme più grandi (definite dalla UE “gatekeeper”) sono diventate tali anche per la cura maniacale nei confronti del design delle loro interfacce, ottimizzando il percorso per loro più profittevole e disincentivando tutti gli altri.
Qui sta la difficoltà: non si può giudicare un dark pattern solo dal principio, bisogna invece misurare l’esperienza. In pratica, i pattern si vedono quando: rifiutare richiede più passaggi di accettare (asimmetria di percorso); il “no” è meno evidente del “sì” (asimmetria visiva: posizione, dimensione, contrasto); l’utente viene interrotto finché non cede (nagging); ci sono oneri informativi inutili prima di arrivare alla scelta (ostruzione); esistono impostazioni preselezionate o categorie opache (sneaking).
Per questo le standardizzazioni di piattaforma come ATT sono preziose: trasformano il consenso in un gesto coerente nel tempo, riducendo la superficie di manipolazione creativa e permettendo sia agli utenti di imparare rapidamente dove e come decidere, sia ai regolatori/ricercatori di misurare con metriche stabili (passaggi, tempi, posizionamenti). È lo stesso vantaggio che abbiamo quando il sistema operativo gestisce i permessi di fotocamera o microfono: l’utente riconosce il messaggio proveniente dal sistema operativo, sa come revocare il consenso e chi prova a barare salta subito all’occhio.
Infine, il nodo culturale: consenso informato e scelta informata richiedono una certa educazione dell’utente. Il regolatore spesso la dà per scontata mentre, al contrario, i team tecnici delle piattaforme investono nel scovare le vulnerabilità degli utenti, sfruttando posizionamento, ritardi, colori, tempi, percorsi. Per questo l’uniformità del punto in cui bisogna effettuare la decisione (uno strato di sistema, uguale per tutti) dovrebbe essere favorita: abbassa la complessità per gli utenti e rende l’enforcement verificabile.
Oggi, però, la regolazione resta quasi sempre a livello alto (principi, divieti) e raramente scende a specifiche vincolanti sulla user interface. Il risultato è che l’onere di provare la manipolazione ricade su autorità e cittadini, caso per caso; mentre chi progetta interfacce approfitta della grande varietà di soluzioni “creative”. ATT mostra che spostare la scelta verso il basso, all’interno del sistema, abilita gli utenti a esprimere le loro volontà e a vederle rispettate.
Il limitato intervento del Garante
Immaginiamo che l’Autorità Garante della Concorrenza e del Mercato (AGCM) ponga all’autorità che si occupa di protezione dei dati una domanda di questo tipo: “ATT è necessario per adempire al GDPR?”. Quest’ultimo probabilmente risponderebbe negativamente, perché in punta di diritto non lo è. Forse è un peccato, perché se la domanda invece fosse: “ATT è una soluzione migliore per catturare il consenso rispetto ai banner sviluppati da terze parti?”, la risposta sarebbe molto probabilmente differente. Al di là degli scenari teorici, che mostrano però come basti cambiare il punto di vista per cambiare anche il risultato, l’impressione è che AGCM abbia la possibilità di rimuovere ATT e che il garante della Privacy non abbia strumenti per intervenire.
La situazione non sembra quindi rosea per ATT in attesa della decisione del 16 dicembre, visto che in Francia l’Autorità competente ha già inflitto a Apple 150 milioni di euro, ritenendo sproporzionato il sistema rispetto all’obiettivo dichiarato e penalizzante per editori più piccoli (Apple ha invece nuovamente difeso ATT come una scelta a favore degli utenti).
Ed è qui che la notizia si intreccia con i dark pattern: per alleggerire le restrizioni di ATT, l’industria pubblicitaria spinge perché siano le singole app e non il sistema a mostrare i propri moduli di consenso. Ma quando scompare il “freno di piattaforma”, gli stessi moduli spesso deviano la scelta.
Antitrust contro privacy
EPIC (Electronic Privacy Information Center) ha messo in guardia proprio su questo punto: con la scusa della concorrenza si rischiano di abbassare le barriere al tracciamento, limitando le tutele. Le minacce per la sicurezza relative alle periferiche e di cui abbiamo parlato, per esempio, non sono sempre state bloccate. Le tutele sono cresciute gradualmente. Da questo punto di vista, il caso di Apple fa riflettere su due aspetti.
Il primo è che se i diritti non sono riconosciuti a norma di legge, non sono realmente ottenuti. Per esempio: una VPN potrà darci un vantaggio, un sistema operativo potrà darci una funzione come l’ATT, una corporation come WhatsApp potrà avvisarci di essere soggetti ad attacchi da parte di attori statali, ma questi sono da viversi come “regali temporanei”. Ci vengono fatti perché la percezione di sicurezza degli utenti conta di più della loro effettiva inattaccabilità.
Chissà cosa succederebbe se l’antitrust sancisse che gli sviluppatori di terze parti possono avere la libertà di accedere anche alle periferiche del sistema, senza subire i vincoli del sistema operativo. Sarebbe naturalmente un disastro, ma quantomeno solleverebbe pressioni, perplessità, critiche. Invece, relegare questa scelta a una lotta tra corporation rischia di non rendere giustizia alle vittime di tutto questo: gli utenti.
Grande assente nelle carte è infatti una domanda: che cosa vogliono le persone? Come detto, al netto delle dispute tra piattaforme e ad-tech, ATT piace agli utenti iOS e una larga maggioranza di utenti Android ha detto di volere “qualcosa di simile” sui propri telefoni. Un maxi-sondaggio svolto da Android Authority con oltre 35 mila voti (per quanto privo di valore statistico) ha concluso che “la stragrande maggioranza vuole anche su Android una funzione anti-tracking come quella di Apple”. Ma questo in fondo già lo sapevamo, ognuno di noi, quando messo davvero di fronte a una scelta chiara, tende a dire di no al tracciamento. Usare l’antitrust per rimuovere ATT non darebbe più libertà agli sviluppatori, ma solo più libertà d’azione ai dark pattern.
