EDPB linee guida contro il lato oscuro della rete
RiflessioniTecnologia e GDPR

EDPB linee guida contro il lato oscuro della rete

By 28 Marzo 2022Marzo 3rd, 2023No Comments

EDPB linee guida contro il lato oscuro della rete, cioè i “dark patterns” utilizzati nelle interfacce delle piattaforme e dei social media. Le linee guida sono state pensate per offrire consigli pratici a progettisti ed utenti. L’intero documento è consultabile a questo link

I Dark Patterns

I dark patterns, in sostanza sono interfacce ed esperienze utente implementate su piattaforme di social media. Soluzioni pensate per indurre gli utenti a prendere decisioni involontarie. Azioni potenzialmente dannose in relazione al trattamento dei dati personali. Il corposo documento dell’EDPB analizza in ogni aspetto il fenomeno. Una analisi che ne indica le dinamiche. In che modo molti siti e piattaforme social si avvalgono di questo metodo, “borderline” in relazione al GDPR?

Le dinamiche del lato oscuro del web

Alcune impostazioni di siti web e app sono sviluppate, dal punto di vista grafico in particolare, volutamente per portare l’utente a scelte inconsapevoli. Gli espedienti, oltre a quello legato al design delle pagine, sono molti e vanno dal posizionamento di pulsanti in posizioni inconsuete per una pagina web, a caselle di spunta pre-compilate e scritte in piccolo o con colori tenui. Menù a discesa, domande ambigue, testi cubitali e rassicuranti – in questo caso per indurre “psicologicamente” a cliccarci su, scritte con caratteri “ammiccanti e di grossa dimensione” se l’utente è invitato a comprare qualcosa, minuscoli e allarmanti se vuole restituirla. Scelte molte delle quali collocabili al capitolo design. Design ingannevole.

La leva psicologica

L’inganno è legato tanto all’aspetto grafico delle piattaforme quanto a quello psicologico. Vi è mai capitato di dover fare una vera e propria caccia al tesoro per cancellare un account e per “sfinimento” rinunciare, continuando a pagare un servizio del quale non eravate più intenzionati di avvalervi? Vi è mai capitato di faticare a trovare la sezione di vostro interesse all’interno di un sito per via del continuo gioco di colori sulla pagina? E ancora, di essere disincentivati a fare una scelta, attraverso un testo che con toni poco rassicuranti ci dice che procedendo perderemmo l’affare della nostra vita? Ecco, questi sono altri esempi lampanti di Dark Patterns.

Limitazione della libertà

Andando oltre gli esempi specifici, il meccanismo in questione è costruito per limitare le libertà dell’utente, di fatto rendendogli la vita più complicata. A volte talmente complicata da indurlo a modificare le sue scelte. Strategie di marketing subdolo, già da tempo nel mirino delle autorità statunitensi. Lo scorso anno il Ccpa – California Consumer Privacy Act – ha vietato gran parte di queste pratiche. La legge californiana sarà la base anche per riforme a livello federale. Una legge che tutela in particolare tutte quelle attività che coinvolgono i dati personali degli utenti.

Harry Brignull ne parla dal 2010

Gia nel 2010 il programmatore Harry Brignull aveva portato alla ribalta la problematica, creando anche un sito dedicato.  Un portale in cui sono elencate tutte le casistiche a cui fare attenzione:

– siti in cui le opzioni Accetta e Rifiuta non sono presentate con pari importanza (di solito la prima è colorata e ben evidente e la seconda è più sfumata e nascosta)

– i banner che è praticamente impossibile chiudere se non cliccandoci sopra

– l’abbonamento a riviste e giornali, facili da attivare ma difficilissimi disattivare – spesso perché tramite una grafica volutamente confusa l’utente fatica a trovare l’area di suo interesse

– i telefoni che in fase di configurazione cercano in tutti i modi di farti creare un account e dunque di raccogliere i tuoi dati

–  LinkedIn che ti manda una mail per dirti che hai ricevuto un messaggio, ma ti costringe a cliccare per leggere il testo del messaggio

– i (finti) conti alla rovescia che ti spingono ad agire velocemente

– i banner che ti informano che “Questo sito vorrebbe inviarti notifiche” che appaiono subito dopo i pop-up sui cookie

– gli stessi pop-up sui cookie che ti spingono ad accettare tutto perché rifiutare è “ovviamente” operazione più complessa rispetto all’accettazione

La differenza tra Dark Patterns e altri tipi di “truffe”

Alcune azioni dei Dark Patterns hanno finalità molto simili a quelle del phishing o di altre attività criminali informatiche. La differenza, sostanziale, sta nel fatto che, per dirla molto franca e semplice, l’attività illecita in questo caso è traghettata attraverso pagine web appositamente “fatte male”, in modo da indurre l’utente ad effettuare scelte ed azioni che non avrebbe voluto fare. È illegale? Il confine tra furbizia e legalità è sottile. Spesso è evidente la trasgressione di principi del GDPR, in altri casi nonostante la malafede, alcune “situazioni” restano sul filo del consentito.

Dark Pattern e GDPR

Come abbiamo detto, il confine tra legale e “furbo” in molti casi è sottile. Se in alcuni casi il “caos organizzato” creato dai web designer di un sito riesce a rimanere comunque nel recinto del GDPR, in molti casi le trasgressioni sono evidenti e sanzionabili. Il Dark Pattern è, per esempio, evidentemente incompatibile con l’Art. 5 che ha come principi quelli della trasparenza, liceità e correttezza. Anche in relazione all’articolo 12, molti “portali furbi” possono incorrere in sanzioni, laddove risulti evidente la mancanza di requisiti di trasparenza, adeguata e accessibile informazione. Altro articolo su cui vacillano, e non poco, alcune situazioni di evidente utilizzo del mezzo Dark Pattern è il 7. Spesso, il voler far navigar in uno tsunami l’utente, porta lo stesso a non riuscire a revocare, per esempio, un consenso di trattamento dati con facilità. Con la stessa facilità con cui lo aveva fornito.

Analisi tecnica EDPB

Nel suo documento EDPB ha individuato sei macro categorie di Dark Pattern:

  • Overloading: gli utenti si trovano di fronte a una enorme quantità di richieste, informazioni, opzioni o possibilità. Questo genera una spinta a condividere dati e consentirne anche involontariamente il trattamento.
  • Skipping (saltare): interfaccia/UX predisposte in modo che gli utenti dimentichino, o non pensino, ad alcuni aspetti della protezione dei dati; sotto-tipologie: “confidenza ingannevole” – “guarda laggiù”;
  • Stirring (stimolare): influenzare le scelte che gli utenti altrimenti non compirebbero, facendo appello alle loro emozioni o usando sollecitazioni visive; sotto-tipologie: “guida emotiva” – “nascosto in bella vista”;
  • Hindering (ostacolare): un ostacolo o blocco degli utenti nel loro processo di informazione o nella gestione dei propri dati, rendendo l’azione favorevole all’utente difficile o impossibile da attuare; sotto-tipologie: “vicolo cieco” – “più a lungo del necessario” – “informazione fuorviante”;
  • Fickle (mutare): il design dell’interfaccia è incoerente e non chiaro, rendendo difficile per gli utenti navigare tra i diversi strumenti di controllo della protezione dei dati, oltre a ostacolare la comprensione della finalità stessa del trattamento; sotto-tipologie: “mancanza di gerarchia” – “decontestualizzazione”;
  • Left in the dark (lasciare all’oscuro): l’interfaccia è progettata in modo da nascondere informazioni o gli strumenti di controllo per la data protection, oppure gettando incertezza su come vengono trattati i dati e su quale tipologia di controllo potrebbero avere gli interessati sugli stessi (per quanto riguarda l’esercizio dei loro diritti); sotto-tipologie: “discontinuità linguistica” – “informazioni contraddittorie” – “formulazione ambigua”.

Un caso eclatante, Il “Caso Trump”

Come più volte evidenziato in questo articolo, una delle caratteristiche peculiari del Dark Pattern è la voluta combinazione tra pessimo design e “trucchetti” per spingere le persone a scelte non del tutto consapevoli. Un caso eclatante di questa pratica è venuto alla luce durante la campagna elettorale di Donald Trump.

Lo staff dell’allora Presidente degli Stati Uniti aveva creato una pagina web, WinRed, attraverso la quale i sostenitori potevano fare donazioni per sostenere la campagna elettorale. L’utente, dopo aver scelto l’importo e confermato, spesso non si accorgeva di una seconda opzione “Dona questi soldi tutti i mesi”, già barrata di default e posizionata nella pagina in modo da essere difficilmente individuabile. Il caso arrivò nelle prime pagine del New York Times, che aggiunse altri dettagli. Sempre secondo il Nyt, l’utilizzo di questo “trucco” sarebbe incominciato nel marzo del 2020 e sarebbe andato avanti sino al mese di novembre, con una escalation, ci permettiamo, anche piuttosto grottesca. In primavera, la casella precompilata chiosava soltanto “Dona questi soldi tutti i mesi”; in estate la casella (sempre pre-accettata) invitava a “Fare una donazione supplementare” nel giorno del compleanno di Trump; a settembre, a ridosso del dibattito televisivo con Biden, venne aggiunta l’opzione (anche questa pre-accettata) di “Donare automaticamente altri 100 dollari il giorno 29”.

Un esempio d’impatto e di portata clamorosa che ci fornisce il termometro di quanto la questione sia da affrontare in maniera massiccia e decisa perché, grazie al suo DNA borderline rispetto al GDPR, dannosissima per gli utenti. EDPB con le sue linee guida contro il lato oscuro della rete, apre davvero un tema enorme. 

Conclusioni

Come ribadito più volte nell’articolo il legame tra truffa e azione “furba” è spesso sottilissimo. L’unica soluzione, al momento, per difenderci dall’utilizzo di dark patterns è informarsi, saperli riconoscere. Sempre per “mano” di Harry Brignull, è nato un forum in cui ogni utente può evidenziare situazioni poco chiare, ed informarsi tramite le segnalazioni degli altri utenti. Se la navigazione di un sito vi fa suonare un campanello d’allarme, date un’occhiata a questo link.

Articoli correlati:

Non ci sono articoli correlati.

Jaera team

Jaera team

Jaera S.r.l. si occupa di consulenza aziendale in ottica compliance e di nomina di specifiche funzioni aziendali, di consulenza in informatica e formazione.