CookieGeddon: dall'anarchia al tracciamento totale e ritorno
Piccole riflessioni sulla natura mutante del web e sulla sua capacità di sostenersi PARTE 1
Salve, io sono Alessandro “Morloi” Grazioli e questa è Ex-perimentia, il diario di un vecchio brontolone che guarda l’internet ed il mondo da un oblò.
Siamo al terzo numero della newsletter: come molti di voi sapranno, per vivere mi occupo di comunicazione digitale - sempre con un piglio un pelo più tecnico di quanto normalmente non si faccia, specie in Italia.
In questa veste ho partecipato anche quest’anno al Web Marketing Festival, manifestazione unica in molti sensi, non solo nel panorama nazionale: in questa edizione si è parlato molto di Cookie-geddon, chiaramente con toni mediamente “allarmistici” (dopo vi spiego meglio).
Molte delle frasi dette, specie fuori dalle sale nelle chiacchiere private, mi hanno colpito e dopo qualche settimana, a freddo, direi che sono pronto ad annoiarvi con le mie considerazioni a riguardo, chiaramente condite dalla solita dose di vetero-internettismo, in cui sono maestro.
Il discorso è articolato e decisamente complesso, per cui per questa settimana vi sorbite la prima parte, introduttiva. Alla prossima newsletter toccherà invece l’ingrato compito di ragionare se effettivamente sia plausibile e sostenibile l’idea di un approccio etico e meno pervasivo al webmarketing (eh, oh).
Al solito, la newsletter è gratis, ma il sostegno è sempre gradito:
Ci siamo? Si parte!
Seguire le tracce // Costruire identikit
“Eh, ma dovranno trovare una soluzione. Google adesso lancia il suo Sandbox.”
Teste che annuiscono.
“Intanto il garante adesso ha rilasciato le nuove linee guida, sarà un massacro”
Teste che annuiscono, con fare grave.
“E Safari e Firefox non accettano già Cookie di terze parti.”
Noto avvocato di settore: “La gente deve capire che i cookie non sono il male, senza cookie terze parti nessun sito funziona.”
Io in disparte, fino ad allora silente: “Veramente i siti funzionano tranquillamente senza cookie terze parti. Sono i modelli di business che scricchiolano.”
Gente che mi guarda stralunata, io bevo un sorso dell’ennesimo, quasi imbevibile, carissimo, pseudo gin-tonic di riviera.
Di nuovo, come è già accaduto nella newsletter di settimana scorsa, siamo di fronte ad un grande problema di percezione: gli attori di questa conversazione sono tutti a vario titolo, compreso il sottoscritto, professionisti digitali, eppure in quel momento ho avuto la netta sensazione che parlassimo lingue differenti, con un gap comunicativo quasi incolmabile.
L’internet che conosciamo oggi, o quella che conosce il grande pubblico, si regge fondamentalmente su due pilastri: pubblicità e profilazione.
Pubblicare roba online e vivere di questo
Da quando è finita l’era delle pagine web pubblicate nei server delle università, si è capito che stare su internet aveva un costo: macchine, connessioni, manutenzione.
A metà anni novanta, oltre oceano (da noi un po’ più tardi), “Internet” era la buzzword per eccellenza e HotWired, il primo magazine commerciale online, vide proprio la luce a fine ottobre del 1994.
HotWired non nacque dal nulla, ma era una costola del magazine cartaceo Wired: venne messo dunque online come entità commerciale, con un business plan e dunque un’idea precisa, anche se magari ancora un pelo fumosa, di come e dove prendere i soldi.
La stampa, allora come oggi, si basava su vendite e pubblicità: visto che online le vendite all’epoca erano fuori discussione, rimaneva la pubblicità. Fu così che nacque la prima campagna banner.
Dunque. Mezzo nuovo, business vecchio: ho lettori, ho spazi, te li vendo. Chiaramente da qui alla nascita della necessità di avere metriche precise per dare un prezzo a questi spazi è stato un attimo.
Ho lettori: eh, facile e chi me lo dice? Beh, i file di log del server, con un software ad hoc per analizzarli. Vabbè ma è tutta roba tua, in casa, come si fa? E allora misura i click che ti mando (CTR), il browser si tira dietro il referer (il sito di provenienza).
Fico. Quindi si possono tracciare i comportamenti degli utenti? Grandioso. Facciamo che ti pago un tanto per click che mi mandi.
Chiaramente qui le cose cominciano a complicarsi, i numeri ad incrociarsi e le possibilità ad infittirsi. I due estremi, golosissimi, sono da una parte la possibilità di disporre di un canale pubblicitario legato direttamente alle performance (vere, in teoria, e non presunte, come quelle della radio o della tv) e dall’altra il cominciare ad annusare la possibilità di analizzare il comportamento ed i gusti del singolo utente.
Già all’epoca avevo amici che cominciavano a taroccare Referer (sì, con una r sola) e User Agent del browser per evitare di passare ai siti che visitavano la provenienza di tale visita; non ho mai condiviso questa piccola accortezza, ma alla fine devo dire che forse avevano ragione loro.
Nel giro di pochissimi anni nacquero server appositi per la distrubuzione dei banner sui siti e il tracciamento “indipendente” di views e click: era nata l’epoca commerciale del web, colorata e chiassosa.
Sappiamo che da allora ci sono stati alti e bassi (la grande bolla del 2000/2001 ha reso evidente quelli che erano i limiti della internet economy dell’epoca), eppure, nonostante siano passati più di vent’anni, siamo ancora qua a parlarne.
Vabbè, e i biscottini cosa c’entrano?
I famigerati Cookie nascono sempre nel 1994 (anno fantastico, eh!) su idea di un dipendente di Netscape, con uno scopo semplice, ma geniale: capire se un utente aveva già visitato in precedenza il sito di Netscape stesso.
L’idea era ovviamente buona e si incrociava a meraviglia con le necessità della nascente rete commerciale: tecnicamente queste informazioni che un sito poteva salvare e recuperare dal computer dell’utente in maniera completamente trasparente e immediata erano estremamente utili per la creazione di siti complessi che prevedessero aree riservate, carrelli della spesa, personalizzazioni varie.
Per inciso Amazon.com apre i battenti nel 1995. Già nel 1996 la questione cookie diventa di dominio pubblico dopo un articolo sul Financial Times, e nel contempo si attiva un gruppo di lavoro all’interno dell’Internet Engineering Task Force, che arriva nel 1997 a definire l’RFC 2019, dove si esprimeva l’indicazione diretta ad evitare l’uso di Third Party Cookies o a disabilitarli di default. Indicazione completamente disattesa dalle implementazioni di tutti i browser dell’epoca. Ovviamente.
Ma che diamine sono questi Third Party Cookies e perché sono diventati così importanti?
Vi ricordate il discorso della possibilità di tracciare il comportamento degli utenti, unitamente al fatto che erano sorti in fretta servizi ad hoc per la distribuzione di banner su vari siti? Ecco.
Facciamola semplice, con un esempio pratico. Una pagina di Repubblica.
Non sindachiamo ora sul fatto che le notizie manco si vedano, di base abbiamo uno sfondo (skin, in gergo), e un bel bannerone di apertura. Sotto ovviamente ce ne sono altri. Questi banner non sono serviti dal server di Repubblica.it (e non vengono mostrati finché non si accetta la possibilità di ricevere cookie di terza parte col famigerato Cookie banner), ma da altri siti, gli AD Server di cui parlavamo prima:
Questo consente ai server ad di servire i banner che ritiene più opportuni secondo il contratto fatto con le aziende che hanno comprato gli spazi, calcolare precisamente quanto questi banner vengano visti (le views) e anche quanto vengano cliccati, visto che prima di arrivare a destinazione, l’utente rimbalza sul sito del server ad, lasciando ovviamente traccia.
All’inizio ci si fermava qui, ma poi qualcuno ha detto: “oh, ma se insieme ai banner inviamo all’utente un cookie con un identificativo unico, che poi ripeschiamo quando l’utente naviga da un sito all’altro? Potremmo tracciare il suo spostamento sul web, almeno su tutti i siti che hanno nostri banner!”.
Ecco, poi dunque succede questo:
Poi si sa, l’appetito vien mangiando, e con la scusa di offrire all’utente una pubblicità mirata ai suoi interessi (quanto siamo bravi a raccontarci mezze verità) ci siamo inventati pure il remarketing: metti che l’utente abbia visitato il nostro ecommerce, abbia visto determinati prodotti, magari li abbia pure messi nel carrello, ma poi per mille motivi abbia rinunciato a finalizzare l’acquisto… Come si fa? Poi si dimentica, si sa, la vita frenetica di oggigiorno, anche lui povero, magari quella scopa elettrica gli serviva davvero.
Nessun problema, metti sul tuo sito questo “pixel” - uno script, una immagine, qualcosa in grado di piazzare nel computer dell’utente un cookie -, e noi tracceremo il suo comportamento, così poi gli riproporremo proprio l’annuncio della scopa elettrica che gli interessava tanto.
Ovunque. Continuamente. Senza sosta. Vedrai che si ricorda.
Chiaramente l’avvento dei social e dei grandi ecosistemi digitali ha reso la cosa ancora più pervasiva e creepy, fino a suscitare dubbi su pratiche al limite della leggenda metropolitana: l’attenzione alla privacy, i ragionamenti sul potere effettivo che il tracciamento così massiccio dei comportamenti degli utenti mette a disposizione di gruppi politici e di opinione che abbiano i mezzi per sfruttarli, ha spinto i governi europei, nonostante il percorso ad ostacoli e l’alzata di scudi di tutto il mondo editoriale - che campa di questo - nella direzione di una massiccia revisione delle pratiche, mettendo in cima a tutto il concetto di privacy by design e privacy by default.
Cookie Law, GDPR, ePrivacy, l’avvento di Brave e le mosse di Apple e Google
Diciamola tutta: la cookie law, così com’era stata formulata e come poi è stata applicata, è una porcata. È stato un parto lunghissimo, che dal 2002 è arrivato ad avere un qualche effetto nel 2011/2012, generando l’obbligo dei siti a mostrare un banner per informare e chiedere il consenso all’uso di cookie di terza parti e/o non strettamente correlati al funzionamento del sito stesso - unicamente alla prima visita.
Ognuno ha fatto un po’ come diamine gli pareva, almeno fino a questo luglio, quando il Garante della privacy ha fatto uscire delle nuove linee guida, molto più stringenti: sembrerà strano, ma in questo campo l’Italia si è spesso mostrata più avanti rispetto ai propri colleghi europei.
La domanda, da uomini comuni è sempre una: ma se già era stato detto che c’era bisogno di un consenso esplicito per installare cookie (o altre tecnologie simili) di tracciamento, che bisogno c’era di dare nuove linee guida, e perché la cosa scuote il mercato della pubblicità online?
Beh, perché fatta la legge trovato l’inganno. Cosa vuol dire consenso esplicito? In molti casi abbiamo assistito a interpretazioni che nel mondo reale farebbero un po’ sorridere. Scrollare è consenso. Chiudere la finestra è consenso. Probabilmente anche ruttare è consenso.
Beh, il Garante, un po’ come il maestro delle elementari, dice “Bambini, su, se Giovann* alza la testa e vi sorride guardando nel vuoto, non vuol dire che potete alzarle la gonna/tirare giù i pantaloni per vedere se nelle mutandine ha gli elefantini o peppa pig.”
Evidentemente a chi fa turbo-advertising interessano un casino le nostre mutande, in modo decisamente morboso.
E in Europa? Dopo l’approvazione del GDPR, che doveva servire semplicemente come ossatura legislativa, indicare una strada, dei principi, è il vuoto: il regolamento ePrivacy è in stallo, Cookie-wall sì, Cookie-wall no, deroghe a destra, deroghe a sinistra, lobby editoriali, aderenza ai principi di privacy by default e privacy by design sanciti dal GDPR. Al momento pare una matassa quasi inestricabile.
Uno delle direzioni che però risultano chiare, è quella di passare il controllo dei cookie e il concetto di privacy by default ai Browser, ovvero ai programmi che usiamo per navigare. Il che, tecnicamente parlando non fa una piega.
Nel 2016 nasce un nuovo attore, Brave, un browser che tenta di immaginare un percorso diverso per il rapporto fra gli utenti e gli advertiser (con anche un sistema di reward, che è sempre una roba che mi lascia perplesso) e che di base blocca tutti i cookie di terze parti, proponendo invece un rapporto diretto con le aziende.
Brave è una roba di nicchia, ovvio, però nei fatti dall’anno scorso pure Safari blocca di base tutti i cookie terze parti, e Firefox anche.
Come mai? Apple è diventata buona? Oh, pure Google ha detto che Chrome dal 2022 non avrebbe più accettato cookie di terza parte (poi, su invito del governo inglese, ha dovuto ritrattare).
No, è che si è aperta un’altra partita nella corsa ultraliberista del web, e no, non è una buona notizia, affatto.
Ma forse è meglio che ne parliamo settimana prossima.
Dj Morloi consiglia…
Vabbè, questa non sarebbe manco da commentare: la colonna sonora di Quake, a cura dei Nine Inch Nails, di Trent Reznor. Uno degli esempi in cui le affinità fra creativi in ambiti diversi crea capolavori.
Master Morloi consiglia…
The Wretched - Edizione italiana Compagnia delle 12 Gemme
Questa è davvero una piccola gemma, straniante. Un gioco di ruolo in solitario, basato su due meccanismi semplici, un mazzo di carte per gli eventi e una torre Jenga per verificare lo stato dell’astronave alla deriva. Fondamentale l’invito a registrare ogni giorno il giornale di bordo, in formato audio: l’uso della voce in un gioco di ruolo in solitario diventa catartico. Da provare. Da soli, al buio, con la colonna sonora creata appositamente.
Beh, è finito luglio, ma noi ci sentiamo lo stesso la prossima settimana. Se la newsletter vi è piaciuta, fate girare, se no, ditemelo.
Saluti, Morloi