SOLUZIONI PER LE IMPRESE

Dark pattern, come evitarli per la tutela dei consumatori europei e dei loro dati personali

L’uso dei dark pattern sulle piattaforme Web per indurre il consumatore/interessato a dare il consenso al trattamento dei propri dati personali espone le imprese a possibili sanzioni sia da parte dell’AGCM sia da parte del Garante Privacy. Ecco le soluzioni e le strategie per evitare che ciò accada

18 Mar 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

In un interessante e articolato studio intitolato EU CONSUMER PROTECTION 2.0 – Structural asymmetries in digital consumer markets e curato dal BEUC (Bureau Européen des Unions De Consommateurs) si parla di vulnerabilità digitale degli utenti, di gestione dei consensi (raccolta e successiva loro amministrazione anche contro la c.d. “privacy fatigue”), di asimmetrie informative e di sfruttamento dei dati nelle pratiche commerciali (in particolare nella personalizzazione dei prezzi online): tra queste ultime, ritroviamo anche il fenomeno attualissimo dei c.d. dark pattern, innestati nella lotta contro la visione della persona come “commodity”, come prodotto.

Nel documento, in particolare, si offre un’attenta e profonda analisi delle prassi penalizzanti verso i consumatori/interessati, oltre che delle normative che attualmente possono essere impiegate a loro tutela.

Il BEUC, lo ricordiamo, è un’organizzazione europea che raggruppa varie associazioni di tutela dei consumatori e dunque che rappresenta una platea considerevole di stakeholder. Il Bureau monitora costantemente le evoluzioni normative e giurisprudenziali, non fa difetto l’ambito informativo nei confronti dei consumatori.

I dark pattern nel report BEUC

Rimandiamo a precedenti contributi per una disamina più ampia del concetto di dark pattern. Rileva che nel report si definiscano come “tecniche e trucchi sleali che fuorviano i consumatori nell’utilizzo di siti Web e app, per indurli a fornire consensi indesiderati o a eseguire operazioni indesiderate. I modelli comportamentali appresi vengono manipolati in modo mirato, tale da posizionare in modo intelligente pulsanti o menu a discesa. Lo scorrimento veloce e la navigazione attraverso siti Web o app potrebbero quindi portare a deduzioni sbagliate” da parte dell’utente.

WHITEPAPER
CyberWar Russia-Ucraina: scenario e impatto sulle aziende italiane ed europee
Sicurezza
Cybersecurity

Vi si riferisce anche come “sludges” o “dark nudges”, comunque di prassi che impattano sulla capacità decisionale della persona, di fatto attuando delle indebite discriminazioni, ancor più subdole in quanto nascoste od opache.

Nel documento si schematizza la normativa comunitaria esistente che può essere individuata quale fonte di tutela: oltre al GDPR, ritroviamo anche le Direttive sulle clausole abusive nei contratti stipulati con i consumatori (Direttiva 93/13/CEE), sulle pratiche commerciali sleali tra imprese e consumatori (Direttiva 2005/29/CE), sulla non discriminazione (vengono invocate diverse Direttive, come ad es. la 2006/54/CE sulle pari opportunità) e, infine, i diritti fondamentali dell’uomo (ovvero la Carta dei diritti fondamentali dell’UE del 2016 oltre che il Trattato sull’Unione Europea (TUE) del 2012).

Un tassello importante dello studio è l’uso distorto della personalizzazione: la profilazione e le altre pratiche commerciali in uso da anni non servono solo per mirare all’utente giusto (il “cosa”) ma anche al modo migliore di approcciarlo (il “come”), a seconda della sua psicologia, delle tempistiche, del contesto, delle interfacce eccetera.

La classica dicitura delle varie policy e informative che recita “utilizziamo i tuoi dati per migliorare i prodotti e servizi offerti”, nella sua vaghezza, può ben nasconderne un uso decettivo.

Si potrebbe parlare di meta-profilazione, cioè di un profilo aggiuntivo di tipo cognitivo e comportamentale che si abbina al profilo di primo livello riguardante i prodotti e servizi preferibili. Sfruttando le vulnerabilità degli utenti, ricavate dallo studio dei loro comportamenti nell’ambiente digitale.

Tecniche e trucchi per fuorviare l’utente

Gli autori effettuano una compilazione dei dark pattern più frequenti nei confronti dei consumatori, tenuto conto dell’aggravante della personalizzazione che consente di usare la tecnica più adatta verso il soggetto ideale, perché più vulnerabile.

Trick questions Durante la compilazione di moduli, vengono poste domande ambigue per ottenere risposte che gli utenti non avevano intenzione di fornire – la personalizzazione permette di stabilire su chi le domande possano funzionare.
Sneak into basketDurante gli acquisti su Internet, elementi aggiuntivi vengono aggiunti al carrello della spesa, spesso tramite opzioni preimpostate nelle pagine precedenti – la personalizzazione consente il rilevamento di quei consumatori che possono essere facilmente circuiti.
Roach motelFacile sottoscrivere un abbonamento premium, molto più difficile è recedere, annullare o non rinnovare – la personalizzazione consente il targeting di coloro che investono sforzi nella ricerca dell’annullamento quelli che non lo fanno.
Privacy ZuckeringTecnica di estrazione: l’utente è tentato di condividere pubblicamente più dati personali del previsto – la personalizzazione consente di distinguere i soggetti verso cui la tecnica funziona meglio.
Prevenzione dalla comparazione dei prezziViene reso difficile il confronto dei prezzi – la personalizzazione consente di capire chi ne sia facile preda.
SviamentoIl design attira l’attenzione su una cosa per distrarre da un’altra, ad es. da informazioni obbligatorie per legge – la personalizzazione permette di distinguere su chi il design funziona.
Costi nascostiSolo nell’ultimo passaggio del processo di ordine sono visualizzati costi imprevisti come spese di spedizione, tasse o commissioni varie – la personalizzazione permette di stabilire su chi funzioni meglio.
Bait and switchDurante un certo processo accade qualcosa di completamente diverso, per sorprendere i consumatori – la personalizzazione permette di stabilire chi può facilmente essere colto di sorpresa.
Pubblicità mimetizzataGli annunci pubblicitari sono mascherati da elementi di navigazione o altro tipo di contenuto – la personalizzazione consente di stabilire quando e su chi funziona la strategia.
Disguised AddsLa versione di prova gratuita viene convertita in quella a pagamento; il costo è addebitato sulla carta di credito tacitamente – la personalizzazione permette di stabilire dove può funzionare, chi si può lamentare e chi no.
Confirm ShamingIl rifiuto è formulato in modo tale che i consumatori si sentano in colpa se rifiutano – la personalizzazione consente il targeting di coloro che possono sentirsi facilmente in colpa.
Friend SpamCon un pretesto è richiesto l’accesso a e-mail o social media dell’utente; dopodiché lo spam è inviato a nome dell’utente verso i suoi contatti – la personalizzazione permette di differenziare coloro che hanno molti amici e per i quali la strategia potrebbe essere particolarmente utile.

Insomma, organizzazioni di tutela dei consumatori e autorità pubbliche sono ben consce della tematica, l’interpretazione adattiva delle attuali normative per accogliere gli sviluppi della ricerca è realtà quotidiana con crescenti provvedimenti sanzionatori – si parla anche di riforme normative che possano meglio fronteggiare il fenomeno.

Tutti ottimi argomenti per considerare fin da ora cosa si fa nel proprio orticello e porvi rimedio, se necessario. Il “così fan tutti” non è più sostenibile per rimandare la valutazione di questi aspetti, ammesso che lo fosse in precedenza.

Soluzioni per le imprese: come evitare i dark pattern

Alla luce di quanto sopra, resta da chiedersi – con i rischi sanzionatori possibili, che possono colpire sia dal punto di vista consumeristico da parte dell’AGCM che dal punto di vista privacy a opera del Garante per la protezione dei dati personali – come un’impresa possa evitare il fenomeno in parola, impresa che non potrà certo difendersi dicendo che non ne aveva cognizione, in tempi di marketing “emotivo” che sa benissimo come sfruttare certe debolezze psicologiche.

Considerato che si potrebbero attuare tali pratiche sia dolosamente che colposamente, sia in prima persona che tramite terzi fornitori di cui non si sia effettuato un assessment adeguato.

In attesa delle evoluzioni della materia, ci sono comunque strategie applicabili fin da ora:

  1. La prima è di conoscere e riconoscere il più possibile tali pratiche: oltre a quanto indicato sopra, diversi siti Internet, curati anche da accademici e dunque basati su studi e ricerche ponderate da esperti – un esempio per tutti è il sito Dark Pattern del designer Henry Brignull che dal 2010 censisce, anche tramite liberi contributi, i vari pattern, oltre ad averli denominati per primo in tal modo.
  2. La seconda è di confrontare il proprio operato con le pratiche suddette, anche se attuate tramite terzi. In molti casi è facile da verificare, ad es. se si utilizzano, per il proprio sito web, banner per l’accettazione dei cookies con box pre-flaggati di cookie non necessari, oppure se l’informativa privacy e tool di selezione degli stessi cookie siano difficili da reperire sul sito web. Altri casi potrebbero essere più ambigui e imporre una vera e propria valutazione dei rischi per l’utente, in particolare lato privacy sull’impatto verso i diritti e le libertà dell’interessato, oltre a conformarsi a principi privacy by design e by default richiesti dal GDPR. Il tema è particolarmente delicato se si utilizzano anche dati di profilazione per effettuare personalizzazioni nella modalità di offerta, come descritto sopra. Nei casi più dubbi e delicati sarebbe fondamentale, inoltre, testare i prototipi e ottenere feedback dalle associazioni di rappresentanza dei consumatori.
  3. Oltre a evitare in negativo le predette prassi, si possono seguire i consigli degli esperti per un comportamento proattivo che consenta di agire correttamente (potremmo definirli “fair pattern” o “transparent pattern”); ad es. proprio sul sito dedicato ai privacy pattern, curato da accademici dell’Università di Berkeley, è possibile trovare soluzioni, implementazioni, fonti ed esempi di correttezza, abbinati ai dark pattern ivi censiti nell’ambito privacy.
  4. Infine, raggiunta la consapevolezza dello stato di fatto e di quanto si dovrebbe fare, è il momento di procedere: rivedere – interdisciplinarmente – la propria User Experience (UX), le proprie interfacce, le proprie informative, i propri contratti utente, i propri consensi e tutti i relativi touchpoint. Tanto più qualora si usino servizi di terzi: se già utilizzati, si dovrà comprendere se permettano gli interventi previsti, in caso contrario sarà necessario cambiare fornitore. Altrettanto si può dire nel caso di audit periodico o verifica preliminare durante la scelta del fornitore: non si potrà più prescindere da una verifica incrociata dei requisiti normativi, delle best practice viste sopra e della UX desiderata.

@RIPRODUZIONE RISERVATA