Di Bennett Cyphers

I cookie stanno morendo e l’industria del monitoraggio sta cercando di sostituirli. Google ha proposto Federated Learning of Cohorts (FLoC), TURTLEDOVE e altre tecnologie a tema uccelli che farebbero sì che i browser eseguano alcuni dei profili comportamentali che i tracker di terze parti fanno oggi. Ma una coalizione di inserzionisti di sorveglianza indipendenti ha un piano diverso. Invece di inserire più tecnologia di tracciamento nel browser (che non controllano), vorrebbero utilizzare identificatori più stabili, come indirizzi e-mail, per identificare e tracciare gli utenti sui loro dispositivi.

Ci sono diverse proposte da parte dei fornitori di tecnologia pubblicitaria per preservare i “media indirizzabili” (leggi: pubblicità di sorveglianza personalizzata) dopo che i cookie sono morti. Ci concentreremo su uno solo: Unified Identifier 2.0, o UID2 in breve, sviluppato dalla società di tecnologia pubblicitaria indipendente The Trade Desk. UID2 è il successore dell”ID unificato” basato sui cookie di The Trade Desk . Proprio come FLoC, UID2 non è un sostituto immediato per i cookie, ma mira a sostituire alcune delle loro funzionalità. Non replicherà tutti i problemi di privacy dei cookie di terze parti, ma ne creerà di nuovi.

Ci sono differenze fondamentali tra UID2 e le proposte di Google. FLoC non consentirà a tracker di terze parti di identificare persone specifiche da solo. Ci sono ancora grossi problemi con FLoC: continua a consentire danni ausiliari di annunci mirati, come la discriminazione, e rafforza altri metodi di tracciamento, come il rilevamento delle impronte digitali. Ma i progettisti di FLoC intendono spostarsi verso un mondo con tracciamento di terze parti meno individualizzato. FLoC è uno sforzo fuorviante con alcuni obiettivi lodevoli.

Al contrario, l’UID2 dovrebbe rendere più facile per i tracker identificare le persone. Si raddoppia sul modello di business target track-profile-target. Se l’UID2 ha successo, le società di tecnologia pubblicitaria e i data broker senza volto continueranno a seguirti sul Web e avranno un tempo più facile legare la tua navigazione sul Web alla tua attività su altri dispositivi. I sostenitori di UID2 vogliono che gli inserzionisti abbiano accesso a profili comportamentali a lungo termine che catturano quasi tutto ciò che fai su qualsiasi dispositivo connesso a Internet e vogliono che sia più facile per i tracker condividere i tuoi dati tra loro. Nonostante le affermazioni sconsiderate dei suoi progettisti in merito a “privacy” e “trasparenza”, UID2 è un passo indietro per la privacy degli utenti.

Come funziona l’UID2?

In poche parole, l’UID2 è una serie di protocolli per la raccolta, l’elaborazione e la trasmissione delle informazioni di identificazione personale (“PII”) degli utenti. A differenza dei cookie o FLoC, UID2 non mira a modificare il funzionamento dei browser; piuttosto, i suoi progettisti vogliono standardizzare il modo in cui gli inserzionisti condividono le informazioni. Gli autori di UID2 hanno pubblicato una bozza di standard tecnico su Github. Le informazioni si muovono nel sistema in questo modo:

  1. Un editore (come un sito web o un’app) chiede a un utente le proprie informazioni di identificazione personale (PII), come un indirizzo email o un numero di telefono.
  2. L’editore condivide le informazioni personali con un “operatore” UID2 (una società di tecnologia pubblicitaria).
  3. L’operatore esegue l’hashing delle PII per generare un “Unified Identifier” (l’UID2). Questo è il numero che identifica l’utente nel sistema.
  4. Un amministratore centralizzato (forse The Trade Desk stesso) distribuisce le chiavi di crittografia all’operatore, che crittografa l’UID2 per generare un “token”. L’operatore invia questo token crittografato all’editore.
  5. L’editore condivide il token con gli inserzionisti.
  6. Gli inserzionisti che ricevono il token possono condividerlo liberamente attraverso la catena di fornitura della pubblicità.
  7. Qualsiasi azienda di tecnologia pubblicitaria che è un “membro conforme” dell’ecosistema può ricevere le chiavi di decrittografia dall’amministratore. Queste aziende possono decrittografare il token in un identificatore grezzo (un UID2).
  8. L’UID2 funge da base per un profilo utente e consente ai tracker di collegare insieme diversi dati su una persona. Gli UID2 non elaborati possono essere condivisi con broker di dati e altri attori all’interno del sistema per facilitare l’unione dei dati degli utenti.

Il telefono e laptop per la privacy definitivi di Purism (Ad)

La descrizione del sistema solleva diverse domande. Per esempio:

  • Chi fungerà da “amministratore” nel sistema? Ce ne saranno uno o più e in che modo influirà sulla concorrenza su Internet?
  • Chi fungerà da “operatore?” Al di fuori degli operatori, chi saranno i “membri” del sistema? Quali responsabilità avranno questi attori nei confronti dei dati degli utenti?
  • Chi avrà accesso agli identificatori UID2 non elaborati? La bozza di specifica implica che gli editori vedranno solo token crittografati, ma la maggior parte degli inserzionisti e dei data broker vedrà identificatori grezzi e stabili.

Quello che sappiamo è che un nuovo identificatore, l’UID2, verrà generato dalla tua email. Questo UID2 sarà condiviso tra inserzionisti e data broker e ancorerà i loro profili comportamentali su di te. E il tuo UID2 sarà lo stesso su tutti i tuoi dispositivi.

Come si confronta l’UID2 con i cookie?

I cookie sono associati a un singolo browser. Ciò rende facile per i tracker raccogliere la cronologia di navigazione. Tuttavia, devono ancora collegare gli ID dei cookie ad altre informazioni, spesso collaborando con un broker di dati di terze parti, per collegare la cronologia di navigazione all’attività su telefoni, TV o nel mondo reale.

Gli UID2 saranno collegati alle persone, non ai dispositivi. Ciò significa che un inserzionista che raccoglie l’UID2 da un sito Web può collegarlo agli UID2 che raccoglie tramite app, TV connesse e veicoli connessi appartenenti alla stessa persona. È qui che entra in gioco la parte “unificata” di UID2: dovrebbe rendere il monitoraggio cross-device facile come lo era il monitoraggio cross-site.

UID2 non è un sostituto immediato per i cookie. Una delle caratteristiche più pericolose dei cookie è che consentono ai tracker di perseguitare gli utenti in modo “anonimo”. Un tracker può impostare un cookie nel tuo browser la prima volta che apri una nuova finestra; può quindi utilizzare quel cookie per iniziare a profilare il tuo comportamento prima che sappia chi sei. Questo profilo “anonimo” può quindi essere utilizzato per indirizzare gli annunci da solo (“non sappiamo chi sia questa persona, ma sappiamo come si comporta”) oppure può essere memorizzato e unito a informazioni di identificazione personale in un secondo momento.

Al contrario, il sistema UID2 non sarà in grado di funzionare senza un qualche tipo di input da parte dell’utente. In un certo senso, questo è un bene: significa che se rifiuti di condividere le tue informazioni personali sul Web, non puoi essere profilato con UID2. Ma questo creerà anche nuovi incentivi per siti, app e dispositivi collegati a chiedere agli utenti i loro indirizzi email. I documenti UID2 indicano che questo fa parte del piano:

La pubblicità indirizzabile consente a editori e sviluppatori di fornire i contenuti e i servizi di cui i consumatori godono, sia tramite app mobili, TV in streaming o esperienze web. … [UID2] consente ai creatori di contenuti di avere conversazioni di scambio di valore con i consumatori, dando loro più controllo e trasparenza sui propri dati.

Gli autori standard danno per scontato che la “pubblicità indirizzabile” (e il monitoraggio e la profilazione) sia necessaria per mantenere gli editori in attività (non lo è). Inoltre chiariscono che, nell’ambito del framework UID2, gli editori dovrebbero richiedere PII in cambio di contenuto.

Come funzionerà l’UID2 sui siti web, secondo la documentazione.

Questo crea cattivi nuovi incentivi per gli editori. Alcuni siti richiedono già l’accesso per visualizzare il contenuto. Se l’UID2 decolla, aspettati che molti altri siti web basati sulla pubblicità chiedano la tua email prima di farti entrare. Con UID2, gli inserzionisti segnalano che gli editori dovranno acquisire e condividere le informazioni personali degli utenti prima di poter offrire gli annunci più redditizi.

Dove si inserisce Google?

A marzo, Google ha annunciato che “non creerà identificatori alternativi per monitorare le persone mentre navigano sul Web, né … li utilizzerà nei [suoi] prodotti”. Google ha chiarito che non si unirà alla coalizione UID2 e non sosterrà sforzi simili per abilitare il monitoraggio web di terze parti. Questa è una buona notizia: presumibilmente significa che gli inserzionisti non saranno in grado di indirizzare gli utenti con UID2 nei prodotti pubblicitari di Google, i più popolari al mondo. Ma l’UID2 potrebbe avere successo nonostante l’opposizione di Google.

Unified ID 2.0 è progettato per funzionare senza l’aiuto del browser. Si basa sugli utenti che condividono informazioni personali, come indirizzi e-mail, con i siti che visitano e quindi utilizza tali informazioni come base per un identificatore cross-context. Anche se Chrome, Firefox, Safari e altri browser vogliono frenare il monitoraggio tra siti, avranno difficoltà a impedire ai siti Web di chiedere l’indirizzo e-mail di un utente.

L’impegno di Google a evitare gli identificatori di terze parti non significa che tali identificatori stiano andando via. E non giustifica la creazione di una nuova tecnologia di targeting come FLoC. Google potrebbe provare a presentare queste tecnologie come alternative e costringerci a scegliere: vedi, FLoC non sembra così male se confrontato con Unified ID 2.0. Ma questa è una falsa dicotomia. È più probabile che, se Google sceglie di implementare FLoC, integrerà, non sostituirà, una nuova generazione di identificatori come UID2.

L’UID2 si concentra sull’identità, mentre FLoC e altre proposte di “sandbox per la privacy” di Google si concentrano sulla rivelazione delle tendenze nel tuo comportamento. UID2 aiuterà i tracker a catturare informazioni dettagliate sulla tua attività sulle app e sui siti web a cui riveli la tua identità. FLoC riassumerà come interagisci con il resto dei siti sul web. Distribuiti insieme, potrebbero essere un potente cocktail di sorveglianza: identificatori specifici e contestuali collegati a etichette comportamentali complete.

Cosa succede dopo?

UID2 non è una tecnologia rivoluzionaria. È un altro passo nella direzione in cui l’industria si è diretta da tempo. L’utilizzo di identificatori del mondo reale è sempre stato più conveniente per i tracker rispetto all’utilizzo di cookie pseudonimi. Fin dall’introduzione dello smartphone, gli inserzionisti hanno voluto collegare la tua attività sul Web a ciò che fai sugli altri tuoi dispositivi. Nel corso degli anni, si è sviluppata un’industria artigianale tra i broker di dati, che vendono servizi di tracciamento basati sul Web che collegano gli ID dei cookie agli identificatori di annunci per dispositivi mobili e alle informazioni del mondo reale.

La proposta UID2 è il culmine di questa tendenza. L’UID2 è più un cambiamento di politica che tecnico: il settore pubblicitario si sta allontanando dalla profilazione anonima abilitata dai cookie e sta pianificando di richiedere indirizzi e-mail e altre PII.

La fine dei biscotti è buona. Ma se la tecnologia di tracciamento basata sull’identità del mondo reale li sostituisce, sarà un passo indietro per gli utenti in modi importanti. In primo luogo, renderà più difficile per gli utenti in situazioni pericolose, per le quali l’attività web potrebbe essere ostacolata, accedere ai contenuti in modo sicuro. La navigazione sul Web in modo anonimo può diventare più difficile o addirittura impossibile. L’UID2 e il suo genere renderanno probabilmente più facile per le forze dell’ordine, le agenzie di intelligence, i militari e gli attori privati ​​acquistare o richiedere dati sensibili su persone reali.

In secondo luogo, l’UID2 incentiverà i siti web basati sulla pubblicità a erigere “trackerwalls”, rifiutando l’accesso agli utenti che preferirebbero non condividere le loro informazioni personali. Sebbene i suoi progettisti pubblicizzino il “consenso” come principio guida, è più probabile che l’UID2 costringa gli utenti a consegnare dati sensibili in cambio di contenuto. Per molti, questa non sarà affatto una scelta. L’UID2 potrebbe normalizzare il “pagamento per la privacy“, ampliando il divario tra coloro che sono costretti a rinunciare alla propria privacy per un accesso di prima classe a Internet e coloro che possono permettersi di non farlo.

Fonte: EFF

Bennett è un tecnologo dello staff del team Tech Projects. Lavora con una varietà di team in EFF, concentrandosi sulla privacy dei consumatori, la concorrenza e la legislazione statale. Assiste anche allo sviluppo di Privacy Badger. Al di fuori del lavoro ha degli hobby e gli piace divertirsi.

Immagine in alto: Pixabay

Postato sul sito web: https://www.activistpost.com/

®wld