Oggi la praticità la fa da padrona: fare acquisti non è mai stato così facile; si possono ordinare prodotti da qualsiasi parte del mondo e farseli consegnare direttamente a casa. Tuttavia, questo richiede la condivisione di informazioni personali, come l’indirizzo o il numero di telefono.
Sebbene i dati vengano forniti per poter fare shopping online, le considerazioni sulla sicurezza sono sempre attuali. Le violazioni dei dati sono un dato di fatto, e i siti web e gli acquirenti devono sempre stare attenti agli incidenti di sicurezza. La verità è che le misure messe in atto spesso disturbano gli utenti e causano problemi di privacy. Il “browser fingerprinting“, forse è l’unico metodo apparentemente meno intrusivo della privacy per tracciare e proteggere gli utenti. Ma è veramente così?
Che cos’è il browser fingerprinting?
È un procedimento attraverso il quale i siti web possono acquisire dati dell’utente, ad esempio il browser utilizzato, il dispositivo, il sistema operativo, la lingua o la posizione e altre impostazioni del browser. Questi dati vengono utilizzati, tra l’altro, per far funzionare correttamente i siti web. Sono anche un modo per identificare i singoli visitatori di un sito e tracciarne l’attività. Sebbene i dati sopra descritti possano essere considerati ridondanti, o forse addirittura inutili a prima vista, è vero il contrario. I siti web possono utilizzarli per personalizzare le pubblicità e le informazioni da fornire ai visitatori.
Il rilevamento delle impronte digitali nel mondo business e la sicurezza dell’azienda
I siti web, in particolare i negozi online, utilizzano il fingerprinting per identificare e tracciare i propri utenti al fine di acquisire dati sul loro comportamento e proporre così il prodotto o servizio migliore per quell’utente. Ad esempio, un negozio online potrebbe tracciare gli articoli che l’utente guarda e poi, alla visita successiva, offrire uno sconto per invogliarlo a fare un acquisto.
Funziona in modo simile all’algoritmo utilizzato all’interno dei social media, che suggerisce contenuti in base a ciò che ritiene rilevante per l’utente, per invogliare una permanenza più lunga sulla pagina web e perseguire, come nell’esempio, l’obiettivo finale di un acquisto.
Questo in un’ottica orientata alla vendita ma, parlando di impronte digitali e sicurezza aziendale, è necessario condividere altre considerazioni che prendono in esame la prevenzione delle frodi, fondamentale per i siti web e i negozi online. Affinché un negozio online possa mettere in atto le giuste attività di prevenzione delle frodi, è necessario innanzitutto migliorare il rilevamento delle stesse, che il fingerprinting supporta evidenziando gli accessi insoliti al sito web (connessione da una posizione e da un dispositivo diversi), invitando l’utente a verificare se stesso. Supponiamo che l’utente di solito si connetta a un sito web da un Wi-Fi a Londra: se cerca di ripetere la stessa attività da Parigi, il sito chiederà di inserire nuovamente i dati di accesso, per assicurarsi che sia davvero quell’utente a cercare di stabilire una connessione. Il fingerprinting può anche identificare le botnet, dal momento che ogni accesso avviene da un dispositivo diverso a ogni visita.
Se da un lato più dati ha a disposizione un’azienda online più è probabile che guidi l’utente ad effettuare un acquisto, dall’altro, con quegli stessi dati migliora la prospettiva della sicurezza, impedendo l’accesso non autorizzato all’account dei propri utenti, che potrebbero contenere informazioni personali sensibili. Ma se consideriamo lo stesso approccio dal punto di vista della privacy, il tracciamento sembra però eccessivo.
Privacy: un tracciamento meno invasivo?
Soprattutto dopo l’introduzione del GDPR nell’Unione Europea, le persone si trovano di fronte a notifiche o avvisi riguardanti il tracciamento dei cookie ogniqualvolta visitano per la prima volta un sito web. Questo serve a fini legali, perché i cookie tracciano l’attività online dell’utente per scopi simili a quelli del rilevamento delle impronte digitali, ma spesso raccolgono molte più informazioni di quelle realmente necessarie; per questo motivo, la UE ha deciso che, quando si tratta di privacy, il cliente ha sempre ragione: deve essere sempre lui a decidere se fornire i propri dati personali a terzi.
Con il fingerprinting del browser, ci si potrebbe chiedere se il tracciamento differisce dalle consuete attività relative ai cookie – e in effetti è così. È così efficiente che è in grado di bypassare la modalità in incognito dei browser o persino le VPN, rendendo più difficile per i truffatori nascondere le proprie azioni. A differenza di altri metodi di tracciamento, il fingerprinting del browser non associa un nome specifico all’attività online di un utente. Non legge né raccoglie dati personali unici. Pertanto, l’intrusione nella privacy personale è minore. O almeno, sembrerebbe così.
Ma in realtà, analizzando più in profondità, il nostro dispositivo, o connessione, è rappresentato dall’indirizzo IP e le impostazioni e le informazioni del dispositivo sono spesso personalizzate in base alle singole scelte. Questo determina, quindi, che l’utente dispone ancora di un identificativo unico del dispositivo, di cui i siti web sono a conoscenza, permettendo così il tracciamento dei siti visitati o della posizione dell’utente. Pertanto, invece dei dati personali, vengono raccolti i dati del dispositivo. Si spiega così il motivo per cui il fingerprinting è così diffuso.
Impronta digitale: noi = il nostro dispositivo
Tutto ciò confluisce in un’impronta digitale rappresentata dal dispositivo personale e quindi, in un certo senso, ancora una volta si presenta un rischio di violazione della privacy. Il nostro device ci rappresenta e l’impronta digitale che ne deriva può essere utilizzata per altro oltre che per rendere la nostra vita più sicura e il browser più stabile.
Le aziende possono utilizzare i dati raccolti attraverso il fingerprinting, motivo per cui le persone più attente alla privacy hanno scelto di bloccarlo. Il tracciamento può durare per mesi e siccome viene effettuato dal lato del server, è più difficile che un utente possa cancellarlo o bloccarlo. Può essere utile controllare la nostra impronta digitale del browser con Am I Unique?, uno strumento online che mostra quanti dati un sito web può leggere su di noi.
Alcuni metodi per impedire il rilevamento delle impronte digitali
Blocco dei tracker – Alcuni browser web come Firefox o Tor bloccano i tracker come impostazione standard, ma esistono anche plugin o estensioni del browser, come Privacy Badger di EFF o uBlock Origin, che non solo garantiscono una maggiore privacy, ma agiscono anche come prevenzione del malware.
Blocco degli script – Disattivare JavaScript consente di prevenire il tracciamento, poiché molti tracker utilizzano gli script per tracciare l’utente su tutti i siti. Un’estensione come NoScript può essere d’aiuto, ma attenzione, il blocco degli script spesso rende i siti web inutilizzabili.
Utilizzare una VPN – Una rete privata virtuale (VPN) maschera l’indirizzo IP collegandoci a un server VPN prima di accedere a un sito. In questo modo il nostro indirizzo IP diventa sconosciuto al sito web. Tuttavia, dato che vengono raccolte anche informazioni sul dispositivo, questo risolve solo una parte del problema.
Chiedere di non tracciare – Alcuni browser o dispositivi offrono l’impostazione “Chiedi di non tracciare“, che indica che si desidera non condividere le proprie interazioni personali con un’app o un sito web.
Inoltre, è sempre opportuno affidarsi a https://www.eset.com/it/privati/smart-security-premium/ per prevenire le violazioni e salvaguardare la propria privacy. Esistono altri metodi, ne abbiamo elencati solo alcuni per dare un’idea di come potersi proteggere.
Di Samuele Zaniboni, Senior Manager of Presales and Tech Engineer di ESET Italia
