False stringhe di consenso GDPR: è l’ultima tendenza delle frodi nella pubblicità online. Ma come è possibile che esista questo fenomeno criminale viste le pesanti sanzioni in gioco nel caso di violazioni al Regolamento europeo per la protezione dei dati personali (GDPR)? Come con qualsiasi tipo di frode, ci sono soldi da fare e basso rischio di essere scoperti.
False stringhe di consenso GDPR: il fenomeno
Capiamo innanzitutto il fenomeno. Quando si tratta di pubblicità online, ci sono diversi giocatori coinvolti, tuttavia i due termini più comuni che si possono incontrare sono: inserzionisti ed editori.
La differenza tra queste definizioni è piuttosto semplice ed evidente. Un inserzionista è colui che paga per pubblicare il suo annuncio su diversi siti Web. Di solito, è un’azienda che ha un prodotto e si connette con gli editori per promuovere un annuncio attraverso i loro siti Web. Un editore è una persona o un’azienda che si occupa di collegare il prodotto dell’inserzionista con l’utente finale, in quanto fornitore di traffico.
Il GDPR ha implementato due percorsi, per rafforzare la privacy dei dati degli utenti online. Vale a dire: il legittimo interesse e il consenso. Entrambi i percorsi avevano lo scopo di informare gli utenti/visitatori del sito Web su “quando e come verranno utilizzati i loro dati“.
Affinché gli editori possano rimanere conformi al GDPR e quindi rispettare la normativa privacy a tutela dei dati degli utenti online, devono scegliere tra 2 percorsi tecnici:
- interesse legittimo: per i siti Web che forniscono motivi giuridicamente conformi alla normativa per la raccolta e l’utilizzo dei dati degli utenti;
- consenso: per i siti Web che devono richiedere l’autorizzazione degli utenti prima di iniziare a utilizzare i propri dati.
Stringa di consenso GDPR: cos’è e a cosa serve
La stringa di consenso GDPR non è altro che l’informazione generata dalla piattaforma di gestione del consenso dell’editore. La stringa viene utilizzata per identificare lo stato di consenso dei fornitori di tecnologia pubblicitaria (ad esempio Apple, Samsung Google ecc.) che lavorano con gli editori.
Le informazioni contenute in una stringa mostrano se il Tech Vendor ha oppure no il consenso per utilizzare i dati dell’utente per pubblicare annunci personalizzati o altri scopi.
Le informazioni nella stringa di consenso sono chiamate anche daisybit.
Daisybit è la forma binaria di informazioni che viene presa come stato di consenso di un utente che visita il sito Web. Essa appare come una serie di numeri fatti di uno e zeri.
Quando le informazioni vengono ricevute e convertite in daisybit, vengono trasmesse a tutti i fornitori di tecnologia pubblicitaria.
Una stringa di consenso GDPR memorizza le seguenti informazioni:
- chi sono i fornitori di tecnologia pubblicitaria;
- se i fornitori di tecnologia pubblicitaria hanno il consenso dell’utente oppure no;
- quali sono gli scopi dei fornitori di tecnologia pubblicitaria con i dati dell’utente.
False stringhe di consenso GDPR: tecniche di hacking
A monte di tutta questa infrastruttura c’è lo IAB Europe, l’associazione europea per l’ecosistema del marketing digitale e della pubblicità che mantiene un elenco aggiornato dei fornitori di tecnologia pubblicitaria.
Tutti questi fornitori fanno parte del quadro di trasparenza e consenso di IAB, quindi sono conformi (teoricamente) al GDPR.
Gli editori che si sono attivamente impegnati con il processo di stringa/daisybit del consenso GDPR hanno però sollevato sempre preoccupazioni circa la manomissione della stringa di consenso GDPR chiamata per l’appunto frode delle false stringhe di consenso GDPR.
In un classico esempio di frode nella stringa di consenso, un fornitore di tecnologia pubblicitaria manometterà consapevolmente le informazioni sul consenso contenute nella stringa di consenso di un editore, al fine di offrire loro la possibilità di pubblicare annunci personalizzati.
In alcuni casi, potrebbe essere facile passare da uno “0” (non utilizzare i dati personali) a un “1” (utilizzare i dati personali).
L’hacking della stringa di consenso può essere un modo relativamente semplice (sebbene illegale) di pubblicare più annunci. Pertanto, anche se un utente ha specificamente indicato che non desidera essere monitorato e non desidera utilizzare i propri dati personali, gli inserzionisti online senza scrupoli possono comunque rifiutare la loro richiesta e pubblicare annunci.
Gli scenari futuri
La grande domanda, ovviamente, è come contrastare il fenomeno della falsificazione delle stringhe di consenso GDPR?
La frode basata sul consenso è un problema ancora di dimensioni limitate ma con una forte potenzialità e creare problemi economici rilevanti nel mercato della pubblicità.
Gli operatori di mercato interessati da questo problema stanno discutendo due opzioni principali per contenere il fenomeno del faking GDPR consent strings.
Il primo aumentare i controlli a campione da parte dei fornitore di tecnologia pubblicitaria.
Il secondo è crittografare la stringa, qualcosa che al momento non è ben visto per i costi di sviluppo da apportare alle piattaforme pubblicitarie esistenti.
Infine, le Autorità europee di controllo da parte loro hanno al momento 2 opzioni possibili: lasciare che l’associazione IAB risolvi in qualche modo la possibilità di manomettere le stringhe di consenso, oppure intervenire con mano pesante e inizieranno a imporre sanzioni e multe se hanno identificato una falsa conformità.
Il modo in cui verrà affrontato il problema ci potrà dire molto sul futuro dell’ecosistema della pubblicità digitale.
@RIPRODUZIONE RISERVATA
