Verso un nuovo ecosistema digital marketing: gli scenari post-cookie entro il 2022 - Cyber Security 360

MERCATO DIGITALE

Verso un nuovo ecosistema digital marketing: gli scenari post-cookie entro il 2022

È in atto una rivoluzione copernicana (alla quale partecipa anche Google) volta a smantellare l’ordinaria gestione tramite cookie della profilazione e dell’analisi degli utenti online, ma non è chiaro se e come le tecniche illustrate potranno proteggerne i dati: è necessaria un’analisi attenta degli impatti e della privacy by design

08 Mar 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Il tracking e la profilazione pubblicitaria online va verso una rivoluzione: vecchi metodi stanno per perdere usabilità, nuovi metodi si fanno strada.

In tal senso, non può stupire Google nel dichiarare la dismissione del tracking di monitoraggio del comportamento utente tra più siti web, come in precedenza ha annunciato di eliminare l’uso di cookie di terze parti dal browser Chrome dal 2022.

Apple, dal canto suo, ha già annunciato di modificare l’uso dell’IDFA da questa primavera, cioè dell’identificatore presente nei suoi dispositivi e finora utilizzato anche per fini pubblicitari “by default”, per impedire il tracciamento utente, implementando un proprio App Tracking Transparency framework in iOS 14 che richieda sempre il consenso preventivo.

L’azienda è da tempo contrapposta a Google nel suo restringere l’uso di cookie a fini di tracciamento (ricordiamo che proprio il browser Safari impostò, nel 2020, il rifiuto by default di tali strumenti di terze parti).

Da ultimo, lato utente, è evidente la stanchezza nel dover affrontare, sito per sito, estenuanti banner, informative, check e via dicendo, arrivando persino a preferire la mancata esplorazione dei siti web.

A fronte di queste chiusure, contestualmente da parte degli stessi colossi americani vi sono aperture verso praterie inesplorate per continuare a fare marketing, usando tecniche innovative e dichiarando che vi sarà una più informata, attenta e limitata gestione dei dati e del tracciamento utente. Il 2022 sarà la data limite, in generale, per il nuovo traguardo.

Il dubbio che sorge è il solito: si arriverà davvero a un maggior rispetto della privacy, nello scenario a venire? Che cosa ci attende come utenti? Quali strumenti verranno usati e in che modo?

Digital marketing: la situazione attuale

Nello scenario attuale, lo strumento principe nel tracciamento commerciale degli utenti è ancora il cookie di terza parte: possiamo trovare pagine web, consultandone la relativa cookie policy, infarcite di cookie diversi, fino a centinaia, appartenenti non solo ai big player come Google e Facebook ma anche a una pletora di altri attori dell’ecosistema, dagli ad-network all’affiliate marketers.

Il publisher (cioè il sito ove sta navigando l’utente) deposita un cookie rilasciato da un terzo (advertiser) che poi verrà usato per tracciarne il comportamento, oltre a far compiere determinate azioni mirate (ad es. visualizzare durante la navigazione in più siti dell’utente dei banner, reclamizzanti uno dei siti precedentemente visitati dallo stesso utente) – questo è lo schema, in soldoni. Il che richiede la onerosa gestione granulare dei consensi come richiesto dal GDPR e dalla Direttiva e-Privacy (recepita nel Codice Privacy italiano del 2003), la raccolta e la comprova degli stessi, l’uso del banner corretto e la resa dell’informativa estesa sul trattamento dei dati, oltre alla gestione di ruoli privacy non sempre di facile identificazione (spesso si tratta di contitolarità non dichiarata).

La recente consultazione pubblica del Garante sulle nuove “Linee guida sull’utilizzo di cookie e di altri strumenti di tracciamento” testimonia l’attenzione costante sul tema, con tutti i rischi di mancata compliance che ne conseguono. Una situazione sempre più pressante e, per gli inserzionisti titolari, delicata da gestire quanto alla compliance. Gli abusi sono noti.

Tecnicamente va detto che l’incremento nell’uso di ad-blocker e plug-in di vario tipo, oltre a browser più evoluti volti a ostacolare l’uso dei cookie traccianti, sia il vero fattore scatenante che ha portato alla svolta qui in parola, pur tuttavia coadiuvato dalla richiesta complessiva di maggior privacy e tutela, con un’attenzione crescente da parte della stampa e dell’opinione pubblica.

Oltre che dal rialzo sanzionatorio da parte delle autorità che non lesinano fendenti al settore. È dunque tempo di cercare altre strade per l’advertising.

Digital marketing: gli scenari del futuro, cioè di oggi

L’equivoco da dissipare subito è che nel cambiamento in corso si rinunci alla profilazione. Farlo vorrebbe dire eliminare l’attuale mercato dell’advertising moderno, quello selettivo e mirato – non è ciò che accadrà, ovviamente.

Piuttosto sono già disponibili, oltre che in via di sviluppo, modalità alternative di raccolta e gestione dei dati personali che non sfruttino gli usuali cookie di terze parti.

Possiamo chiamarle tecniche “post-cookies”, a sottolinearne l’avvicendamento; più in generale vi possiamo comprendere ambiti comunque riconducibili all’uso di identificatori di qualche tipo (come l’IDFA di Apple sopra menzionato). Un buon catalogo è offerto dallo IAB nella sua guida “Guide to the Post Third-Party Cookie Era”.

Partiamo da alcune alternative più basilari: un primo scenario post-cookies è quello… dei cookies. Ovvero cessare l’utilizzo di quelli di terze parti per concentrarsi su quelli di prima parte (cioè del publisher sul proprio sito web), frutto ad es. di un login o di dichiarazioni dell’utente che permettano di identificarlo chiaramente.

Ovviamente ciò andrà gestito sempre correttamente, mediante consensi, con l’effetto immediato di impedire il retargeting altrimenti possibile con i cookie di terze parti su altri siti web. Con un chiaro impatto negativo su chi oggi – perlopiù PMI – si basa proprio sul retargeting tradizionale.

Dunque, l’uso di cookie di prima parte appare più favorevole solo a chi ne ha raccolti e ne può raccogliere di idonei e a sufficienza, come la stessa Apple.

In questa direzione sul mercato si affacciano allora strumenti come quelli proposti ad es. da Xandr dell’AT&T, offrendo una dichiarata “interoperabilità agnostica” verso gli identificatori: secondo AT&T gli operatori potranno lavorare in modo flessibile con i dati di prima parte – inclusi i dati di utente autenticati – insieme a soluzioni identificative contestuali offerte dai provider, consentendo anche la pubblicazione di annunci senza l’uso di dati personali.

Si tenga conto, inoltre, che vi sono anche soluzioni tecniche per “incorporare” cookie di terze parti in cookie di prima parte: l’uso è evidentemente di dubbia trasparenza e a dir poco problematico circa i corretti adempimenti lato privacy, per cui ne è fortemente sconsigliato l’uso in genere.

Come avverrà l’identificazione degli utenti

Un punto nodale per le tecniche alternative più evolute è l’identificazione degli utenti: alcune delle soluzioni post-cookies difatti paiono rinunciare a un’identificazione più o meno immediata e diretta degli utenti (vuoi tramite dati in chiaro che identificatori di vario tipo come l’IP Address), per approdare a una gestione “offuscata” dei dati, pseudonimizzata o aggregata che sia.

Il risultato auspicabile sarebbe quello di arrivare a identificare l’utente solo se necessario, a fine corsa, oppure di non identificarlo affatto, riuscendo comunque a fargli arrivare il messaggio pubblicitario adatto al suo target.

Il targeter, infatti, non ha un interesse specifico nel sapere chi sia esattamente un determinato utente, piuttosto vuole sapere a quale tipo di promozione può meglio reagire, oltretutto vuole poterlo riconoscere in vari contesti.

Un metodo può essere quello di elaborare i dati su base inferenziale, probabilistica: si raccolgono meno dati possibili, a un grado idoneo di non identificabilità, in modo da poterli successivamente ricondurre a una tipologia di utente piuttosto che a un singolo utente.

Google Privacy Sandbox e FLoC (Federated Learning of Cohorts) sono soluzioni che vanno proprio in questa direzione: l’utente manterrà i propri dati di comportamento sui propri dispositivi, non più raccolti tramite cookies e simili, per essere utilizzati da Google e i suoi inserzionisti tramite raggruppamenti di target per ampi segmenti, tali da non permettere la diretta identificazione, in base all’algoritmo (machine-learning) di clustering sviluppato da Google. Ciò risponde all’evoluzione dell’edge computing che nell’IoT porta l’elaborazione sempre più sul dispositivo utente piuttosto che su server esterni cloud.

La soluzione proposta da Google

Sempre la stessa Google sta introducendo nel mercato, tramite Chrome, la novità FLEDGE (First Locally-Executed Decision over Groups Experiment – a sostituzione della precedente Turtledove) per avere un “trusted server” gestito da una terza parte indipendente che permetta di fare remarketing senza cookies, ad es. tramite gruppi di interesse, spostando sul browser stesso la fase di auction (asta pubblicitaria) degli annunci.

È chiaro che la visione di Google è comunque centrata su Google stessa, l’unica ad avere il controllo del processo. Inoltre, Chrome potrà continuare a usare a proprio vantaggio tecniche di identificazione come il fingerprinting, tramite il browser, senza depositare file o dati sul dispositivo.

Ecco perché l’associazione di settore IAB (Interactive Advertising Bureau), d’altro canto, col suo Project Rearc esplora altre strade: mira a creare un profilo unificato (a login) per gli utenti, così da avere un punto di controllo autonomo per gestire preferenze privacy e consensi verso le miriadi di inserzionisti.

Esperimenti precedenti sulla falsariga non avevano fornito grandi risultati, anche per le difficoltà nel trovare accordo tra gli operatori, si vedrà se e come questa iniziativa potrà svilupparsi.

Lo spiazzamento del mercato, di fronte alle proposte di Google, è comunque palese.

Ad esempio, nemmeno l’EFF (Electronic Frontier Foundation) è rimasta neutra rispetto al progetto di Google FLoC, affermando che i punti oscuri del progetto così come annunciato non si contano.

Tra i tanti, l’EFF rileva che l’ID di un utente entro la relativa coorte (cioè l’aggregato entro il quale viene trattato l’insieme di dati utente) sarà disponibile tramite Javascript, ma non è chiaro se ci saranno restrizioni su chi può accedervi o se tale ID verrà condiviso in qualche modo.

Lato privacy, non è chiaro quanto la identificabilità dell’utente sia al sicuro entro le coorti, specie pensando al fingerprinting comunque utilizzato da Google. Potrebbe paradossalmente essere più facile identificare un utente, grazie al mix di dati di fingerprinting e quelli pseudonimizzati delle coorti, a tutto vantaggio della sola Google oltretutto.

Inoltre, il funzionamento di FLoC rischia di rendere comunque i dati della cronologia del browser, i dati demografici o sugli interessi facilmente desumibili anche da terzi, seppur partendo da dati aggregati come quelli delle coorti.

Si raggiungerebbe una profilazione pari all’attuale, se non più opaca e subdola.

L’evoluzione delle piattaforme esistenti

Tornando a piattaforme già esistenti, di recente è stata annunciata la soluzione LiveIntent nonID, a integrazione di MediaMath SOURCE (nota piattaforma media buying). Gli strumenti utilizzati in tal caso sono lo scambio di email LiveIntent e il cosiddetto “nonID Identifier”.

Sostanzialmente si usano tali nonID Identifier (pseudonimizzati) per incrociare dati di prima parte e ricavarne grafi di comportamento utente, tra più fonti omnichannel, così utili per la vendita di annunci – senza arrivare a una ragionevole identificabilità degli utenti coinvolti, si dichiara, per le terze parti.

Non dissimile è l’annuncio di The Trade Desk, azienda intermediaria tra publisher e inserzionisti e che rappresenta un concorrente per Google, in progressiva e minacciosa crescita sul mercato advertising. Reagendo agli annunci sopra detti di Google circa i cookie di terze parti, The Trade Desk ha annunciato un identificativo unico (Unified ID 2.0) degli utenti, pseudonimizzato a partire dall’e-mail, così da poter mettere a fattor comune i dati raccolti dai suoi clienti dell’adtech, senza violare la privacy degli utenti. Cinquanta milioni di utenti farebbero già parte del database di Unified ID.

Conclusioni

Quanto sopra dovrà sempre e comunque superare il vaglio delle normative: non è affatto chiaro se e come le tecniche illustrate potranno davvero garantire una maggior protezione dei dati e maggior rispetto per gli utenti, un’attenta analisi dei vari fattori in gioco (privacy by design e di impatto privacy) sarà sempre più necessaria.

È però impellente per chi opera nel settore familiarizzare quanto prima con le alternative post-cookies, per poter riorganizzare il proprio advertising nel nuovo ecosistema in fieri. Velocemente: non solo i big player stanno cambiando le carte in tavola ma anche molti soggetti “minori” del settore stanno interagendo con i big per collaborare nel tentare nuove strade, visto che un probabile effetto sarà quello di eliminare tanti operatori che si basano sulle tecnologie attuali di tracciamento che dovranno convertirsi o desistere.

Sul versante normativo si staglia la riforma della Direttiva e-Privacy, che potrà essere sostituita dal Regolamento finalmente in fase avanzata di discussione e che enfatizzerà l’attenzione sul trattamento dei dati e dei metadati anche per fini pubblicitari.

Anche gli USA sono sul piede di guerra, basti menzionare il CCPA californiano e i progetti federali di legge su queste tematiche. Il futuro non è mai stato così vicino e un nuovo equilibrio andrà cercato.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4