Modelli di design ingannevole e cookie banner: l’indagine del Garante

MAGAZINE

Modelli di design ingannevole e cookie banner: l’indagine del Garante

Questo è ciò che emerge dall’indagine condotta dal Garante italiano nell’ambito del GPEN (Global Privacy Enforcement Network) Sweep 2024, iniziativa internazionale che ha visto 26 Autorità di protezione dati analizzare il fenomeno dei modelli di design ingannevole.

Nello specifico, su un totale di 111 app e 899 siti analizzati, il 97% dei casi ha visto la presenza di almeno una tipologia di design ingannevole. Vediamo, di seguito, un riepilogo su cosa sono i dark pattern e alcuni dati riscontrati dall’analisi.

Modelli di design ingannevole (dark pattern): cosa sono

Per dark pattern si intendono interfacce o percorsi di navigazione progettati per influenzare l’utente, affinché compia azioni inconsapevoli o indesiderate che – da un lato – sono potenzialmente dannose per la sua privacy, ma dall’altro fanno gli interessi della piattaforma o del gestore del servizio.

Noti anche come modelli di design ingannevole (o modelli di progettazione ingannevole), di fatto vengono realizzati apposta per spingere l’utente a compiere azioni non volute, quali ad esempio l’accettazione inconsapevole dei cookie tramite banner ingannevoli, l’acquisto o l’iscrizione a un servizio, ecc.

Ciò, ovviamente, viola il Regolamento europeo in materia di protezione dei dati, andando contro i principi fondamentali del GDPR che riguardano: liceità, correttezza e trasparenza del trattamento, limitazione delle finalità, minimizzazione dei dati, condizioni per il consenso, principio di accountability, principio di protezione dei dati by design e by default.

Il 24 febbraio 2023, il Comitato europeo per la protezione dati (EDPB) ha pubblicato delle linee guida su come riconoscere ed evitare questi modelli, individuando 6 principali categorie di dark pattern:

  • Overloading;
  • Skipping;
  • Stirring;
  • Obstructing;
  • Flickle;
  • Leftinthedark.

Per approfondire l’argomento e le caratteristiche delle diverse categorie, vai all’articolo Dark Pattern: come riconoscere i modelli di progettazione ingannevoli.

Design ingannevole dei cookie banner e modalità di cancellazione account

Come anticipato, nell’indagine conoscitiva sui modelli di design ingannevoli GPEN Sweep 2024, sono stati esaminati 899 siti web e 111 app, che hanno registrato almeno una tipologia di design ingannevole nel 97% dei casi.

Tra gli indicatori presi in considerazione vi erano:

  • utilizzo di un linguaggio complesso e confuso nelle informative;
  • inserimento di passaggi aggiuntivi e non necessari;
  • introduzione di elementi di design per influenzare la percezione delle opzioni privacy;
  • richiesta di informazioni personali eccedenti per accedere a un servizio.

Il Garante privacy italiano si è focalizzato, nello specifico, su 50 siti web “comparatori” di prodotti e servizi, analizzandone soprattutto i cookie banner e le modalità di cancellazione degli account utente.

I risultati hanno evidenziato come, in oltre il 60% dei casi, i banner mostravano con maggior enfasi l’opzione meno favorevole per la privacy degli utenti. Quasi nel 40% dei casi, inoltre, per rifiutare tale opzione l’utente era costretto a un maggior numero di passaggi, mentre in circa il 30% non era presentata altra opzione se non quella di accettare tutti i cookie.

Per quanto riguarda la cancellazione degli account utenti, sono stati spesso registrati percorsi accidentati per svolgere tale azione, soprattutto a causa di:

  • assenza di specifica funzionalità di cancellazione;
  • eccessivo numero di clic per raggiungerla;
  • richiesta di informazioni personali eccedenti;
  • utilizzo di un linguaggio orientato a dissuadere l’utente.

Modelli di design ingannevole: altri dati da considerare

Altri dati emersi dall’indagine sui modelli di design ingannevoli hanno a che fare con gli indicatori menzionati nel precedente paragrafo.

Ad esempio, l’uso di un linguaggio complesso e confuso nelle informative sulla privacy è stato il dark pattern più comune. Ben l’89% delle informative analizzate si è rivelato eccessivamente lungo (oltre 3.000 parole) o comunque conteneva un linguaggio tecnico e confuso, che le rendeva difficili da leggere (livello adatto a chi ha un’istruzione universitaria).

Per quanto riguarda le interferenze nell’interfaccia, il 43% dei siti web e delle app analizzate ha usato strumenti linguistici o visivi per influenzare gli utenti a selezionare le opzioni meno protettive per la privacy. Inoltre, nel 39% delle interazioni, i siti e le app hanno creato ostacoli tra gli utenti e i loro obiettivi, dissuadendoli dal compiere le scelte desiderate. Ad esempio, dove era prevista la registrazione di un account:

  • nel 16% dei casi non si riusciva a trovare l’opzione per disconnettersi dall’account;
  • nel 27% dei casi erano necessarie 3 o più azioni per trovare l’opzione di cancellazione dell’account;
  • nel 55% dei casi non si riusciva a trovare l’opzione di cancellazione dell’account.

In generale, ecco quali sono state le percentuali relative alle probabilità di incontro dei vari indicatori:

  • linguaggio complesso e confuso: 89%;
  • interferenza nell’interfaccia: 43%;
  • richiesta ripetuta (per compiere un’azione a favore dell’organizzazione): 14%;
  • ostruzione: 39%;
  • azione forzata: 21%.

Per approfondire, qui puoi consultare il documento completo dell’indagine GPEN Sweep 2024.

Vuoi evitare il rischio di sanzioni da parte del Garante, ed essere certo che il tuo sito web stia rispettando gli obblighi di legge in tema di privacy e protezione dei dati personali? Contattaci oggi stesso per richiedere la consulenza di un nostro professionista.

Articolo di Leonardo Dossi.

Newsletter

Aggiornamenti utili e novità sulle tue aree d’interesse!

Seguici!

Top