Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection

Questo studio rivela come Google e Meta incentivino la raccolta di dati personali tramite configurazioni di tracker sui siti web, evidenziando che, sebbene i tracker di Google siano più diffusi, quelli di Meta siano configurati per raccogliere dati da moduli web con frequenza significativamente maggiore, spesso in violazione delle politiche di privacy.

L'essenziale

Ecco una spiegazione semplice e creativa dello studio, pensata per chiunque voglia capire cosa succede davvero quando visiti un sito web.

🕵️‍♂️ Il Titolo: "Non tutti i tracker sono uguali: La trappola nascosta nei moduli"

Immagina di entrare in un negozio. Il proprietario ti sorride, ma sotto il bancone c'è un cameriere invisibile (il "tracker") che prende appunti su tutto ciò che fai. Questo studio di ricercatori dell'Università di New York e della Northeastern University ha scoperto che questo cameriere non si limita a guardare cosa compri: se glielo dici, ti ruba anche il nome, il numero di telefono e l'indirizzo email direttamente dai moduli che riempi.

E la cosa più inquietante? Spesso il proprietario del negozio (il gestore del sito web) non sa nemmeno che il cameriere sta rubando questi dati, perché gli è stato insegnato a farlo in modo sbagliato.

---

🎭 La Metafora: Il Menu "Tutto Incluso"

Per capire il problema, immagina che Google e Meta (Facebook/Instagram) siano due grandi catene di ristoranti che vendono ai gestori dei siti web un "sistema di sorveglianza".

1. Il Menu Ingannevole (La Documentazione)

Quando un gestore di un sito web vuole installare questo sistema, legge il "menu" (la documentazione).

• Il problema: Il menu dice: "Per avere il miglior servizio, attiva l'opzione 'Raccogli tutto'!".
• La bugia: Il menu aggiunge: "Non preoccuparti, i dati vengono 'hashati' (trasformati in codice segreto), quindi sono al sicuro".
• La realtà: È come dire che se mescoli il latte con il caffè, il latte scompare e non è più latte. Invece, i ricercatori e la FTC (l'ente di controllo americano) dicono: "No, il latte è ancora lì, e il cameriere può ancora riconoscerlo". La "protezione" promessa è un'illusione.

2. Due Stili di Servizio Diversi

Lo studio ha confrontato i due grandi fornitori: Meta Pixel e Google Tag.

• Meta (Il cameriere insistente):
  Meta ha un processo di installazione molto "amichevole" ma ingannevole. Quando installi il sistema, ti chiede: "Vuoi raccogliere i dati dei clienti per migliorare le tue pubblicità?".
  Se clicchi su "Sì" (come fa la maggior parte delle persone per non perdere opportunità), il sistema seleziona automaticamente TUTTI i dati possibili (nome, telefono, email, indirizzo, ecc.). È come se il cameriere ti dicesse: "Vuoi il menu completo? Allora prendi tutto, non devi nemmeno scegliere!".

  • Risultato: Il 62% dei siti che usano Meta raccoglie questi dati.

• Google (Il cameriere confuso):
  Google ha un sistema più complesso e disordinato. Non ti chiede esplicitamente di raccogliere i dati durante l'installazione. Devi andare a cercare tu l'opzione e attivarla manualmente.

  • Risultato: Solo l'11% dei siti che usano Google raccoglie questi dati, perché la gente non trova l'interruttore o non sa che esiste.

---

🏥 Il Problema dei "Negozi Sensibili"

Immagina di andare in una farmacia o in un ospedale. Per legge, non dovrebbero essere venduti i tuoi dati medici a terzi. Eppure, lo studio ha scoperto che molti siti di salute e finanza hanno installato questi "camerieri" e li hanno configurati per rubare i dati.

• Il paradosso: Meta e Google dicono: "Se sei un ospedale, non puoi raccogliere questi dati".
• La falla: Chiedono al gestore del sito di dichiarare da solo: "Io sono un ospedale". È come chiedere a un ladro di dichiarare: "Io sono un ladro". Molti siti di riabilitazione da droghe, banche o assicurazioni non lo dichiarano correttamente (o lo fanno male), così il sistema permette loro di raccogliere i dati dei pazienti e dei clienti.

Esempi reali trovati:

• Centri di riabilitazione che inviavano i nomi dei pazienti a Meta.
• Banche che inviavano i dati finanziari a Google.
• Siti di salute mentale che condividevano le email degli utenti.

---

🔍 Cosa hanno scoperto i ricercatori?

1. La colpa è del "Menu": I gestori dei siti web non sono necessariamente cattivi. Sono confusi. Le istruzioni di Google e Meta sono scritte in modo da spingere verso la raccolta massima dei dati, nascondendo i rischi.
2. Meta è più aggressiva: È molto più probabile che un sito con Meta Pixel stia rubando i tuoi dati rispetto a uno con Google Tag, proprio perché il processo di installazione di Meta ti spinge a farlo.
3. I dati sensibili sono a rischio: Anche se ci sono leggi (come l'HIPAA negli USA), i sistemi tecnici attuali non sono abbastanza forti da fermare la raccolta se il gestore del sito sbaglia configurazione o mente sulla sua categoria.

💡 Cosa possiamo fare?

I ricercatori hanno creato un piccolo "avviso" (un'estensione per il browser) che funziona come un cameriere onesto. Prima che tu riempia un modulo, ti dice: "Attenzione! Questo sito sta configurando un sistema per inviare il tuo nome e telefono a Meta. Sei sicuro di voler procedere?".

In sintesi

Questo studio ci insegna che la privacy non dipende solo da quanto siamo attenti, ma da come sono costruiti gli strumenti che i gestori dei siti usano. Se il "menu" ti spinge a scegliere l'opzione meno privata, la maggior parte delle persone lo farà, anche senza volerlo. È un invito a ripensare come le grandi aziende tecnologiche guidano le scelte di chi gestisce i siti web, per proteggere noi utenti.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection" in italiano.

Titolo

Installazioni dei Tracker Non Sono Tutte Uguali: Comprendere la Configurazione della Raccolta Dati dai Moduli

1. Il Problema

La pubblicità mirata si basa sul tracciamento estensivo delle attività online degli utenti. Le grandi aziende pubblicitarie come Google e Meta incoraggiano gli amministratori di siti web non solo a installare script di tracciamento, ma anche a configurarli per raccogliere automaticamente Informazioni di Identificazione Personale (PII) (come email, numeri di telefono, nomi) dai moduli web compilati dagli utenti.

Il problema centrale affrontato dallo studio è che, mentre le ricerche precedenti hanno analizzato la presenza dei tracker o la fuoriuscita di dati PII, hanno spesso trattato l'installazione del tracker come un evento binario (installato o non installato). Tuttavia, l'installazione di un tracker non garantisce automaticamente la raccolta di dati sensibili; è necessaria una configurazione specifica per abilitare l'estrazione dei dati dai moduli.
Lo studio indaga:

• Come i documenti e le interfacce utente (UI) di Google e Meta guidano gli amministratori nella configurazione della raccolta dati.
• Se queste guide contengono "dark patterns" (modelli oscuri) o linguaggio fuorviante.
• Quanto frequentemente i tracker sono effettivamente configurati per raccogliere PII, specialmente su siti web sensibili (sanità e finanza) dove tale raccolta è spesso illegale o vietata dalle policy delle piattaforme.

2. Metodologia

La ricerca combina un'analisi qualitativa e uno studio di misurazione su larga scala.

A. Analisi Qualitativa (Documentazione e UI)

• Oggetto: Analisi di 17 pagine di documentazione di Meta e 60 pagine di Google, incluse le interfacce di configurazione.
• Metodo: Due autori hanno agito come amministratori di siti web, creando un sito di test con un modulo di input e seguendo i flussi di installazione di Meta Pixel e Google Tag. Hanno utilizzato tecniche di reverse engineering per osservare come le scelte nell'interfaccia si traducessero nel codice JavaScript caricato e nei dati effettivamente raccolti.
• Codifica: È stato sviluppato un codicebook basato su cinque categorie di pattern problematici:
  1. Rischio nascosto: Nascondere i rischi per la privacy.
  2. Default meno privati: Configurazioni predefinite che massimizzano la raccolta dati.
  3. Raccomandazioni meno private: Suggerimenti espliciti per massimizzare i dati.
  4. Aversione alla perdita: Linguaggio che suggerisce di perdere opportunità se non si massimizza la raccolta.
  5. Linguaggio contraddittorio: Istruzioni che contraddicono i meccanismi reali di raccolta.

B. Studio di Misurazione (Scraping su Larga Scala)

• Dataset: 40.150 siti web (inclusi 3.406 siti sanitari e 1.633 finanziari) selezionati da Tranco e SimilarWeb.
• Pipeline di Raccolta Dati:
  1. Iniezione del Modulo: Uno script automatizzato ha iniettato un modulo HTML finto con campi PII (email, telefono, nome, ecc.) nella pagina di destinazione e ha simulato l'invio.
  2. Cattura del Traffico: È stato monitorato il traffico di rete per rilevare eventi di invio dati verso i server di Google o Meta contenenti i dati hashati del modulo finto.
  3. Analisi Statica: È stato scaricato e analizzato il codice sorgente (JavaScript) per verificare le configurazioni di Meta Pixel (per Google Tag l'analisi statica è risultata troppo complessa a causa dell'offuscamento).
• Validazione: Sono stati effettuati controlli manuali su campioni casuali per verificare i falsi negativi (tracker non rilevati) e l'impatto dei banner per il consenso ai cookie.

3. Contributi Chiave

1. Metodologia di Analisi: Creazione di un framework per analizzare qualitativamente la documentazione dei tracker e una pipeline di misurazione su larga scala per rilevare le configurazioni di raccolta dati.
2. Esposizione delle Pratiche di Google e Meta: Dimostrazione che entrambe le aziende raccomandano configurazioni che massimizzano la raccolta dati, utilizzando un linguaggio che minimizza i rischi e promuovendo l'hashing come metodo di protezione della privacy (affermazione smentita dalla FTC e dalla ricerca accademica).
3. Disparità di Configurazione: Evidenziazione che i siti web configurano Meta Pixel per raccogliere dati dai moduli molto più frequentemente rispetto a Google Tag.
4. Identificazione di Violazioni: Rilevamento di specifici siti web nei settori sanitario e finanziario che, violando le policy di Meta e Google, hanno configurato i tracker per raccogliere automaticamente PII.

4. Risultati Principali

Analisi Qualitativa (Documentazione e UI)

• Meta Pixel: Presenta un flusso di configurazione "semplificato" che guida l'amministratore a massimizzare la raccolta dati. Include un prompt esplicito durante l'installazione per attivare la raccolta automatica, con tutti i campi PII (11 tipi) selezionati di default. La documentazione afferma che l'hashing protegge la privacy, nascondendo il fatto che Meta può comunque collegare i dati a profili esistenti.
• Google Tag: Il flusso è più complesso e frammentato. Non include un prompt esplicito per la raccolta dati durante la configurazione iniziale (è disattivato di default), ma la documentazione contiene affermazioni contraddittorie: da un lato vieta l'invio di PII, dall'altro incoraggia l'uso di dati "hashati" per il targeting.
• Restrizioni Verticali: Sia Meta che Google richiedono agli amministratori di dichiarare se il sito è "Sanità" o "Finanza" per limitare la raccolta automatica. Tuttavia, questa classificazione è basata sull'autodichiarazione e non è spiegata chiaramente, permettendo di aggirare le restrizioni.

Risultati Quantitativi (Misurazione)

• Prevalenza dei Tracker: Google Tag è installato su più siti (72,6%) rispetto a Meta Pixel (28,2%).
• Configurazione Raccolta Dati:
  • Meta Pixel: Il 62,3% dei siti con Meta Pixel è configurato per raccogliere dati dai moduli.
  • Google Tag: Solo l'11,6% dei siti con Google Tag è configurato per raccogliere dati dai moduli.
  • Correlazione: La presenza di un Meta Pixel aumenta significativamente la probabilità che anche un Google Tag presente sullo stesso sito sia configurato per la raccolta dati.
• Settori Sensibili:
  • Nei settori non sensibili, il 68% dei Meta Pixel raccoglie dati dai moduli.
  • Nei settori sanitari e finanziari, questa percentuale scende drasticamente (30,8% e 20,3% rispettivamente), suggerendo che le restrizioni tecniche funzionano parzialmente. Tuttavia, lo studio ha identificato siti specifici (es. centri di riabilitazione, banche, assicurazioni) che hanno aggirato queste restrizioni e continuano a raccogliere dati PII.
• Tipi di Dati: Quando configurati, i Meta Pixel raccolgono quasi sempre email (99,5%), nomi completi (93,7%) e numeri di telefono (93,5%). Il 51,3% dei siti utilizza la configurazione predefinita che raccoglie tutti i campi disponibili.

5. Significato e Implicazioni

• Impatto sulla Privacy: Lo studio dimostra che le istruzioni e le interfacce di configurazione fornite dalle terze parti sono un fattore determinante nelle decisioni di configurazione degli amministratori, spesso portandoli a violare involontariamente le normative sulla privacy o le policy aziendali.
• Inefficacia delle Misure Attuali: Le attuali restrizioni basate sull'autodichiarazione del settore verticale sono insufficienti a prevenire la raccolta di dati sensibili su siti web regolamentati.
• Hashing non è Anonimato: La ricerca conferma che l'hashing (SHA-256) non è un metodo di protezione della privacy sufficiente, poiché permette il collegamento dei dati a profili esistenti, contraddicendo le rassicurazioni fornite da Google e Meta.
• Soluzioni Proposte:
  • Miglioramento delle interfacce di configurazione e della documentazione per rendere chiari i rischi.
  • Sviluppo di estensioni del browser (come il prototipo presentato dagli autori) che avvisano gli utenti se un tracker è configurato per raccogliere dati dai moduli prima che vengano compilati.
  • Necessità di un'azione normativa più forte da parte delle autorità (es. FTC) per far rispettare le policy e vietare pratiche ingannevoli.

In sintesi, il paper rivela che la configurazione dei tracker è un processo critico e spesso fuorviante, dove le scelte di design delle piattaforme di advertising spingono verso la massima raccolta dati, creando rischi significativi per la privacy degli utenti, specialmente nei settori più sensibili.