Google ritira la carta Uno Reverse: Ritira la decisione di eliminare i cookie di terze parti

Image of Carlo Cilento

Pubblicato il 31 lug 2024 e modificato il 13 feb 2025 da Carlo Cilento

Google ha annunciato ufficialmente che abbandonerà il suo piano, a lungo rimandato, di deprecare i cookie di terze parti su Chrome. I cookie di terze parti sono ancora qui, nonostante anni di promesse contrarie.

Si tratta di una notizia importante: i cookie di terze parti sono una parte cruciale dell'ecosistema della tecnologia pubblicitaria e un problema urgente di privacy. Ecco tutto quello che c'è da sapere sulla decisione e sulle sue implicazioni per la privacy online.

  1. Cosa sono i cookie di terze parti?
  2. Cosa c'è di sbagliato nei cookie di terze parti?
  3. Perché Google è così importante per i cookie?
  4. Perché Google non ha deprecato i cookie?
  5. Cosa farà Google?
  6. Cosa significa questo per la privacy?
  7. Cosa c'è in serbo per l'ad tech?
  8. Riflessioni finali

Cosa sono i cookie di terze parti?

Come probabilmente saprete, i cookie sono piccoli file che i browser scambiano con i server. Vengono utilizzati per ogni tipo di scopo: mostrare pubblicità mirata, autenticare gli utenti, ricordare le preferenze dell'interfaccia utente o gli articoli nel carrello della spesa, e così via.

I cookie di prima parte possono essere letti solo dal dominio che li ha inseriti nel browser, mentre i cookie di terze parti possono essere letti da altri domini. Ciò rende i cookie di terze parti molto utili per la pubblicità mirata, poiché un inserzionista può conoscere gli interessi dell'utente in base alle sue abitudini di navigazione e visualizzare un annuncio che probabilmente gli interesserà.

Cosa c'è di sbagliato nei cookie di terze parti?

I cookie di terze parti hanno un aspetto negativo serio ed evidente: i siti web possono imparare molto su di voi dal vostro comportamento di navigazione, comprese informazioni intime che potrebbero compromettervi, esporvi a pubblicità di sfruttamento e mettervi nei guai in molti altri modi.

Come se non bastasse, la pubblicità mirata si basa sullo scambio di informazioni tra più soggetti. Non si tratta di un singolo sito web che apprende informazioni su di voi: le vostre informazioni personali vengono divulgate a un numero enorme di inserzionisti che fanno offerte per ogni posizionamento pubblicitario (comprese le centinaia di inserzionisti che perdono ogni offerta!) e passate a broker di dati con una governance dei dati discutibile.

Per farla breve, l'ambiente di offerte in tempo reale che sta dietro alla pubblicità mirata è a dir poco un incendio, come ha spiegato in dettaglio l'ICCL.

Eppure, i cookie di terze parti sono stati a lungo un punto fermo dell'ad tech, nonostante i problemi di privacy. Ma il vento sta cambiando: l'opinione pubblica è sempre più preoccupata per la privacy dei dati e molte legislazioni in tutto il mondo hanno approvato leggi severe sulla privacy sulla scia del GDPR. Il clima non è così favorevole all'uso diffuso dei cookie di terze parti come lo era nei primi, selvaggi giorni del Web 2.0 e il settore si sta adattando con riluttanza a questi cambiamenti, orientandosi verso i dati di prima parte.

Perché Google è così importante per i cookie?

Google Chrome è l'unico browser importante ad accettare i cookie di terze parti per impostazione predefinita e rappresenta ben il 65% del mercato dei browser a livello mondiale. Google sta di fatto mantenendo i cookie di terze parti su un supporto vitale in un mercato di browser che è già andato avanti da tempo.

Le motivazioni di Google sono ovvie: l'azienda è un monopolista dell'ad tech (motivo per cui, tra l'altro, il DOJ statunitense sta cercando di smantellare il suo stack di ad tech). L'azienda possiede molti dei servizi chiave che alimentano l'ambiente dell'ad tech, tra cui Google 360, AdExchange, DoubleClick e Google Analytics.

Google cookies Non si tratta di un mercato sano (fonte: US DOJ).

Per molto tempo il lucroso ambiente di Google nel settore della tecnologia pubblicitaria è stato alimentato in gran parte dal tracciamento invasivo degli utenti consentito dai cookie di terze parti. Ma alla fine anche Google ha riconosciuto che il tracciamento degli utenti attraverso i siti web non era sostenibile nel lungo periodo. Così, l'azienda ha iniziato a sperimentare modi per superare i cookie di terze parti senza distruggere il proprio impero dell'ad tech.

Il piano di Google per la sostituzione dei cookie ruotava attorno a diversi punti chiave. L'azienda ha iniziato a lavorare su nuovi standard e idee per facilitare la pubblicità mirata (presumibilmente) rispettosa della privacy. Queste proposte sono state soprannominate " Privacy Sandbox". Google non solo avrebbe sviluppato questi standard, ma avrebbe anche spinto le parti interessate ad adottarli, deprecando i cookie di terze parti e Universal Analytics, la vecchia versione di Google Analytics basata su cookie di terze parti.

Le cose non sono andate come previsto. L'azienda ha annunciato per la prima volta la deprecazione dei cookie nel 2020, fissando come termine ultimo il 2022, per poi spostare il termine al 2023, 2024, 2025 e mai più. La deprecazione dei cookie è diventata una sorta di barzelletta nella comunità tecnologica.

Google Cookie U-turn Google sicuramente lo farà.

Perché Google non ha deprecato i cookie?

Google non è mai riuscita a eliminare i cookie di terze parti perché non è riuscita a sostituirli. Una prima proposta chiamata FLoC (Federated Learning of Cohorts) è stata scartata dopo aver subito il contraccolpo dei sostenitori della privacy, delle autorità di regolamentazione e di alcune parti interessate. Google ci ha riprovato con una proposta chiamata Topics che ha avuto lo stesso destino di FLoC.

Abbiamo un altro blog su Topics, quindi non vi annoieremo con i dettagli in questa sede. Per farla breve, Topics analizza la cronologia di navigazione dell'utente per capire quali sono i suoi interessi e li trasmette agli inserzionisti. Come nel caso di FLoC, questa analisi viene effettuata direttamente dal browser Chrome e non coinvolge i server di Google.

Non tutti ne sono stati felici. Gli sviluppatori di altri browser (con la notevole eccezione di Microsoft) non toccherebbero gli argomenti nemmeno con un palo da 10 piedi. Hanno sottolineato che i browser sono agenti dell'utente: si suppone che lavorino a beneficio dell'utente, non degli sviluppatori.

Topics soffriva anche di altri problemi. I difensori della privacy sostengono che Google abbia usato un linguaggio ingannevole per confondere Topics con una "funzione di privacy", al fine di raccogliere il consenso degli utenti di Chrome. La Mozilla Foundation ha esaminato Topics in modo approfondito e ha evidenziato la sua vulnerabilità agli attacchi di reidentificazione. Infine, l'autorità di vigilanza sulla privacy del Regno Unito e l'autorità antitrust si sono entrambe occupate di Topics.

Cosa farà Google?

Google non ha eliminato completamente la Privacy Sandbox, ma non intende sbarazzarsi dei cookie di terze parti in tempi brevi. Pertanto, la loro sostituzione rimane un obiettivo a lungo termine.

L'azienda è stata vaga sulle sue prossime mosse. Sul suo blog si legge che sta lavorando a "una nuova esperienza in Chrome che permetta alle persone di fare una scelta informata che si applichi a tutta la loro navigazione sul web", il che fa pensare che verranno implementate restrizioni più severe sui cookie di terze parti.

È difficile capire come questa "nuova esperienza" possa rappresentare un cambiamento significativo per la privacy. Ancora una volta, Chrome è l'unico browser principale che accetta i cookie per impostazione predefinita. Safari, Firefox e persino Microsoft Edge sono dotati di impostazioni per i cookie che rispettano la privacy. Solo Chrome è così invasivo per impostazione predefinita.

Ma l'utente sarà "in grado di modificare questa scelta in qualsiasi momento". Come se godere di un certo grado di controllo sui propri dati personali fosse una gentile concessione dell'azienda piuttosto che un requisito legale nell'UE e in molti paesi del mondo.

Cosa significa questo per la privacy?

Da un lato, i cookie di terze parti sono ancora in circolazione e questo è uno schifo. D'altra parte, siamo felici di vedere che la proposta di trasformare un browser in una macchina per il tracciamento dei dati è stata accolta con il contraccolpo che meritava. Questa reazione potrebbe effettivamente costringere Google a presentare una proposta valida, che trovi un migliore equilibrio tra privacy e necessità pubblicitarie.

Ma è possibile un tale equilibrio?

Il pubblico ha dimostrato più volte di non gradire il tracciamento. Quando nel 2020 Apple ha implementato i controlli degli utenti sul tracciamento da parte di terzi, un enorme 96% degli utenti statunitensi ha optato per il non tracciamento, un numero che ha superato i peggiori timori degli inserzionisti. Il pubblico reagirebbe meglio se le aziende promettessero di tracciare un po' meno gli utenti, come ha fatto Google con i Topics?

Non si tratta di una domanda teorica. Ogni anno le leggi sulla privacy in tutto il mondo rafforzano sempre più il principio del controllo dell'utente sui propri dati personali e spesso richiedono il consenso per il tracciamento degli utenti. Per questo motivo la sorveglianza commerciale si basa in gran parte sul ricatto e sull'inganno degli utenti.

Vediamo queste due strategie in continuazione: Google ha scelto l'inganno per i Topics, mentre Meta ha optato per l'estorsione [prendere o lasciare] per Facebook e Instagram. Non si tratta solo di pesci grossi: molte testate giornalistiche online presentano ai lettori pareti di cookie e innumerevoli app si rifiutano di funzionare a meno che non si dia loro il permesso di accedere ai dati del dispositivo, di cui non hanno bisogno se non per la monetizzazione.

Ma queste pratiche devono affrontare un crescente controllo da parte delle autorità di regolamentazione e una sfida incessante da parte dei sostenitori della privacy. Questi ultimi hanno dalla loro parte alcune munizioni legali, in quanto il GDPR stabilisce uno standard elevato per un consenso valido, così come le legislazioni che si ispirano al regolamento. Ingannare o ricattare gli utenti non è solo una cattiva idea, ma è anche sempre più rischioso nell'attuale panorama normativo.

Cosa c'è in serbo per l'ad tech?

Questo è un periodo di incertezza. Gli sviluppi normativi avranno un impatto profondo sull'ambiente dell'ad tech nel prossimo futuro, ma è difficile dire come. Le autorità di regolamentazione potrebbero legittimare pratiche invasive che attualmente si trovano in una zona grigia dal punto di vista legale o dare il colpo di grazia alla sorveglianza commerciale, almeno nel mercato chiave europeo.

La lunga saga del pay-or-ok di Meta è l'ultima resistenza della sorveglianza commerciale in Europa. Abbiamo già aperto un blog sul pay-or-ok, quindi ecco il punto di partenza: la Corte di giustizia deve chiarire in che misura e a quali condizioni le aziende possono chiedere agli utenti di pagare con i loro dati. La risposta a queste domande avrà implicazioni immense per l'ad tech nel suo complesso e potrebbe finire per eliminare i cookie wall e altre pratiche di consenso forzato.

Anche l'Europa giocherà un ruolo fondamentale: il tanto atteso regolamento ePrivacy è in fase di elaborazione e dovrebbe infine sostituire la direttiva ePrivacy che attualmente regola i cookie nell'UE. La bozza finale potrebbe attenersi all'approccio rigoroso della direttiva e imporre un consenso rigoroso, oppure lasciare spazio ad approcci (presumibilmente) rispettosi della privacy alla pubblicità. Il regolamento potrebbe anche prendere spunto dal CCPA e applicare rigorosamente i controlli globali sulla privacy o altri segnali di non tracciamento da parte dei browser.

Infine, ma non meno importante, c'è l'**ADPPA, l'**ultimo tentativo bipartisan di legge federale sulla privacy negli Stati Uniti. L'ADPPA avrebbe un impatto enorme sull'ambiente dell'ad tech nel suo complesso, poiché il duopolio Google/Meta è soggetto alla legislazione statunitense. L'attuale bozza è poco chiara per quanto riguarda la pubblicità, per usare un eufemismo. Si spera che le nuove bozze siano formulate in modo più chiaro e ci diano un'idea di cosa ci aspetta se l'ADPPA dovesse diventare legge.

Riflessioni finali

Con tutti questi sviluppi normativi in corso, potremmo vedere presto un Internet rispettoso della privacy. Ma perché aspettare?

Noi crediamo in un Internet indipendente e amichevole nei confronti dei suoi visitatori. Ecco perché abbiamo creato Simple Analytics per fornirvi tutte le informazioni sul traffico, preservando la privacy degli utenti.

Nessun banner con i cookie. 100% conforme al GDPR e facile da usare. Non esitate a provarlo.