Indice articolo
Ancora guai per Mozilla e Firefox. Il meccanismo Privacy Preserving Attribution, con l’intento di sottrarre gli utenti al tracciamento nei siti web, permette a Mozilla di registrarne tutte le attività. La funzione è stata attivata senza consenso ed è palesemente incompatibile con il GDPR. Mozilla rischia conseguenze con le istituzioni europee in un quadro già assai complesso.
Ancora guai per Mozilla e Firefox
Quella che segue è una foto di qualche anno fa. Mozilla promuoveva l’utilizzo di Firefox con cartelloni pubblicitari. Contenevano un richiamo ai colori di Google Chrome e vi si leggeva un riadattamento del messaggio Orwelliano: “Il grande browser ti guarda“.
I tempi devono essere cambiati perché la dirigenza di Mozilla, benché forse in buona fede, ha combinato un nuovo pasticcio. Con il dichiarato intento di proteggerli, ha attivato automaticamente e in segreto il tracciamento degli utenti senza informarli e senza ricevere quindi alcun consenso.
Firefox e la PPA (Privacy-preserving attribution)
A partire dalla versione 128 di Firefox, Mozilla ha infatti introdotto nel proprio browser una funziona chiamata Privacy-preserving attribution o PPA, tradotta in Attribuzione nel rispetto della privacy.
L’intento è lodevole, intendiamoci, e consiste nel – leggo testualmente – “promuovere uno standard web progettato per aiutare i siti a comprendere il rendimento dei loro annunci pubblicitari, senza raccogliere dati sulle singole persone“.
L’attribuzione nel marketing online
Grazie alla c.d. attribuzione, gli inserzionisti pubblicitari sono in grado di valutare il rendimento delle loro campagne online. L’attribuzione misura quante persone hanno visto un annuncio su un sito web, quante lo hanno cliccato visitando il sito web dell’inserzionista. E poi quanti hanno compiuto le azioni desiderate come ad esempio un acquisto o una sottoscrizione.
Tradizionalmente lo scopo è stato raggiunto tramite l’inserimento di cookie traccianti nel dispositivo dell’utente. Non cookie inseriti dal responsabile del sito che stai visitando, ma dall’inserzionista del banner. Ecco la ragione per cui sono chiamati cookie di terze parti.
In soldoni, tramite Google Ads o altri network, i gestori di innumerevoli siti web, ma non questo, ospitano banner per guadagnare dai propri contenuti. Questi banner inseriscono cookie nel dispositivo in modo da identificare l’utente anche in altri siti affiliati al medesimo network. Ecco perché puoi trovare le stesse pubblicità di prodotti che hai cercato in precedenza, anche in siti web differenti e persino usando dispositivi differenti per visitarli.
In modo apprezzabile Mozilla chiarisce che “Il tracciamento è dannoso per la privacy, perché fornisce alle aziende informazioni dettagliate su ciò che gli utenti fanno online“. E aggiunge “La speranza di Mozilla è che, se il suo team di sviluppatori sarà in grado di trovare una buona soluzione di attribuzione, questa soluzione possa offrire una reale alternativa a pratiche discutibili come il tracciamento“.
Ti spio io
L’idea è che, invece di inserire i tradizionali cookie di tracciamento, i siti web devono chiedere a Firefox di memorizzare le informazioni sulle interazioni pubblicitarie delle persone per poter ricevere i dati di più utenti.
Nella realtà delle cose però, come spiegato ancora nella pagina web ufficiale sulla funzione di PPA, “le attività dell’utente sono tenute sotto controllo dal suo browser e non dai siti web“. In sostanza, ora è il browser a controllare il tracciamento, piuttosto che i singoli siti web.
Ciò limiterebbe il tracciamento sistematico delle proprie abitudini di navigazione da parte dei singoli siti web.
Ma ciò che in primo luogo non è chiaro è come l’invasività di un unico soggetto, che di fatto spia l’utente in tutto ciò che fa online, possa rappresentare una garanzia per la privacy.
E chi te l’ha chiesto?
E il dubbio che non si sia garantiti è legato al problema più grave per cui Mozilla rischia guai. L’azienda non ha mai informato gli utenti di tale nuova funzione e non ha chiesto loro se volessero attivarla. Al contrario, ha deciso di attivarla di default con un aggiornamento.
E a poco vale che, una volta scovata autonomamente la pagina ufficiale sulla PPA, sia spiegato come disattivarla se l’utente non sa che tale funzione esiste, non ha ricevuto alcuna notifica e non gli è stato chiesto se intendesse attivarla o meno.
La funzione, ad oggi, non è nemmeno menzionata nelle politiche di protezione dei dati di Mozilla. L’unico modo per disattivarla è trovare la c.d. funzione di opt-out, cioè “dissottoscrizione” in un sottomenu delle impostazioni del browser.
A chi gli segnalava che non fosse corretto attivare senza informazione né consenso una funzione tanto invasiva, irritato, Bas Schouten, sviluppatore di Mozilla, aveva giustificato la mossa sostenendo che gli utenti non sono in grado di prendere una decisione informata e quindi è bene che la funzione sia attivata per impostazione predefinita.
Il post su Mastodon è stato da lui rimosso ma per fortuna non sfugge alla wayback machine, la moviola di Internet, in cui è ancora consultabile.
Contro il GDPR
Questa condotta interferisce chiaramente con i diritti degli utenti ai sensi del GDPR dell’UE. Possibile che nessun legale di Mozilla ne sia a conoscenza? O forse si tratta di mettere un freno agli adblocker che stanno decretando la morte del tracciamento selvaggio?
Perché, questa opzione di tracciamento non sostituisce nemmeno i cookie, ma è semplicemente un modo alternativo – aggiuntivo – per i siti web di indirizzare la pubblicità perché i cookie di terze parti non sono stati ancora fermati.
Questo è particolarmente preoccupante perché Mozilla ha generalmente la reputazione di essere un’alternativa rispettosa della privacy, mentre la maggior parte degli altri browser si basa su Chromium, open-source ma di provenienza Google che poi lo trasforma con i propri servizi e lo rende chiuso e non ispezionabile.
Insomma Mozilla sembra aver fatto sua la strategia di Google con la privacy sandbox in Chrome. Questa, almeno nelle dichiarate intenzioni iniziali, avrebbe dovuto impedire il tracciamento tramite cookie di terze parti nei siti web. Salvo poi ripensarci e continuare a permettere una pratica non rispettosa della privacy e persino in grado di fornire informazioni preziose a malintenzionati in caso di falle nel software.
Precedenti recenti
Non è la prima volta che qualcuno in Mozilla dà degli stupidi ai propri utenti. È successo anzi in tempi recentissimi, sei mesi fa, con l’introduzione di termini di servizio in Firefox e l’ho già documentato. Riassumendo, in quell’occasione, Mozilla imponeva ai propri utenti di concedere all’azienda tutte le informazioni sui siti visitati e le ricerche fatte nel browser chiarendo che avrebbe potuto cambiare termini senza alcun avviso. Si basava solo sull’utilizzo del software come forma di consenso. Senza però che l’utente fosse stato minimamente informato.
Dopo anni in cui nel sito ufficiale di Firefox si spiegava che tale browser non raccoglieva né rivedendeva informazioni personali degli utenti, la pagina è stata modificata in quell’occasione e non fa più cenno a questo aspetto.
Mozilla spiegava le ragioni, le traduco: “Mozilla non vende dati che ti riguardano (nel senso in cui la maggior parte delle persone intende per “vendere dati”) e non acquistiamo dati che ti riguardano. Abbiamo modificato il nostro linguaggio perché alcune legislazioni definiscono “vendere” in modo più ampio rispetto a quello che la maggior parte delle persone può comprendere di questa parola“.
Quindi, anche in tale occasione, per meglio proteggersi da azioni legali, Firefox ha introdotto termini di utilizzo. Non vende i nostri dati nel senso che intendiamo ma in un altro quindi parrebbe di si. E siccome il problema è che la maggior parte delle persone non è in grado di comprendere, meglio tacere.
NOYB: none of your business
Il comportamento di Mozilla con l’attivazione non autorizzata della PPA è stato analizzato e denunciato al Garante per la privacy austriaco dall’associazione NOYB, per None of Your Business, cioè non sono affari tuoi. NOYB è Una spina nel fianco di quelle che ironicamente chiamerei multinazionali senza filtro. Il presidente onorario di NOYB è tale Max Schrems che i responsabili per la protezione dati conoscono bene.
Su iniziative di questo signore sono state emanate due sentenze storiche dalla Corte di Giustizia Europea. In primo luogo hanno messo in discussione e poi KO alcune pratiche tra cui il Privacy Shield che ammorbidiva l’atteggiamento delle istituzioni europee stesse nei confronti delle pratiche comuni di trasferimento di dati personali dall’UE agli USA.
Nei casi specifici si trattava di pratiche scorrette esercitate da Facebook. Tramite le proprie sussidiarie sul suolo europeo, l’azienda aggirava di fatto l’obbligo sancito dal GDPR di impedire che dati personali dei cittadini europei, finissero in paesi con livelli di privacy inferiori ai nostri.
In questo caso gli USA che, successivamente al Patriot Act del 2001 e con le National Security Letters hanno già di fatto abolito la riservatezza online. Da allora, alla polizia federale è garantito persino accesso completo alle informazioni personali conservate dai fornitori di servizi internet, senza nemmeno bisogno del mandato di un giudice.
Certo anche da noi ultimamente le cose stanno prendendo una piega simile se con Chat Control e altre mosse inquietanti, si sta cercando di impedire l’accesso a internet a chi non sia identificato personalmente. Di questo riparleremo visto che la decisione del 14 ottobre è stata rinviata a fine anno perché ancora i censori non hanno trovato un accordo.
La denuncia a Mozilla è stata presentata da noyb al Garante Austriaco a cui è chiesto di valutare la condotta. Felix Mikolasch, avvocato specializzato in protezione dei dati personali di noyb dichiara: “Mozilla si è appena allineata all’idea che l’industria pubblicitaria abbia il diritto di tracciare gli utenti trasformando Firefox in uno strumento di misurazione degli annunci. Sebbene Mozilla possa avere buone intenzioni, è molto improbabile che la “privacy preserving attribution” sostituisca i cookie e altri strumenti di tracciamento. È solo un nuovo mezzo aggiuntivo per tracciare gli utenti“.
Milioni di utenti europei sono interessati. noyb chiede all’autorità austriaca per la protezione dei dati (DSB) di indagare sul comportamento di Mozilla. Mozilla dovrebbe informare adeguatamente il denunciante e gli altri utenti sulle sue attività di trattamento dei dati e passare effettivamente a un sistema di opt-in. Inoltre, l’azienda dovrebbe cancellare tutti i dati trattati illegalmente.
L’evoluzione della vicenda
Dopo quasi un anno dalla presentazione della denuncia, su NOYB non sono riportati aggiornamenti. Ma a partire da una versione di Firefox tra la 138 e la 143, l’opzione per la disattivazione di questa telemetria è sparita dalle impostazioni di Privacy del browser.
Digitando nella barra di Firefox about:config e poi cercando dom.private-attribution.submission.enabled scopriamo che la caratteristica è ancora presente nel browser ma è stata disattivata.
In questo modo Mozilla si prepara per eventuali contestazioni. Ma ad oggi, la pagina sulla disattivazione della PPA è ancora presente ma non ci sono altre notizie ufficiali sulla questione. Segno forse che basta pararsi il fondo schiena ma gli utenti non meritano di sapere? Ei dati che sono stati raccolti illecitamente?
Mozilla non se la passa bene
Ora è vero che le cose in Mozilla non vanno proprio bene. In quindici anni il suo browser che era usato in un computer ogni 3, è oggi usato in 2 ogni 100 con una perdita di circa 80 milioni di utenti.
Non ha certo giovato alla sua immagine che in un periodo di grave crisi finanziaria, nel 2023 sia stato quadruplicato il compenso dell’amministratore delegato a cui è stato riconosciuto un premio produzione di 7 milioni di dollari.
Ma può darsi che questo si inserisca nel contesto della “collaborazione” attiva dal 2021 tra Mozilla e Google. La grande G versa annualmente mezzo miliardo di dollari nelle casse di Mozilla perché Google sia impostato come motore di ricerca predefinito. Che questo possa essere il giusto valore per raggiungere 2 utenti ogni 100 pare piuttosto difficile da credere.
E Google?
Sorge il dubbio che Google abbia interesse a mantenere in vita Mozilla perché non gli venga meno uno pseudo concorrente di mercato.
Nel 2021 Google ha comunque investito oltre 26 miliardi di dollari per far impostare il proprio motore di ricerca come predefinito nei maggiori browser sul mercato. Su tale pratica aveva messo gli occhi il Dipartimento di Giustizia federale degli Stati Uniti. Se la pratica fosse dichiarata illegittima, potrebbero essere tempi molto duri per Firefox e per la sopravvivenza stessa di Mozilla.
Tirando le somme, se fosse imposto un freno al monopolio di Google, addio Firefox. Sembra un controsenso.
Ma non solo. Il valore attuale di Chrome supera i 100 miliardi di dollari. Per un annetto parevano esserci speranze che proprio il Dipartimento di Giustizia americano imponesse a Google la vendita forzata di Chrome. Purtroppo, un illuminato giudice federale, a inizio settembre, ha escluso tale ipotesi, costringendo però Google a condividere i dati in suo possesso con i rivali. Dalla padella alla brace per gli utenti.
Il web di una volta
I tempi si fanno sempre più bui. Nemmeno ciò che rimane di Netscape in Mozilla è più lo stesso, travolto dalle dinamiche mostruose di quella che è chiamata concorrenza.
Il luogo meraviglioso che era Internet fino all’inizio di questo secolo non esiste più. E purtroppo il suo inventore, Sir Tim Berners Lee, lo aveva profetizzato. La mia pare l’ultima generazione ad aver conosciuto la libertà di internet. Molteplici iniziative in tutto il mondo si stanno moltiplicando per legittimare il controllo di massa che quel presunto traditore di nome Edward Snowden aveva denunciato e per cui è stato costretto a fuggire da un paese chiamato libero verso uno chiamato tirannico.
Per maggiori dettagli, ricorda che solo qui nel blog e non anche a margine del video su YouTube trovi tutti i link alle risorse citate. Se conosci me, sicuramente conosci Moreno Razzoli ed il suo canale morrolinux. Ma se così non fosse anche per l’1% di chi legge questo articolo segnalo che Moreno sta facendo un lavoro ineguagliabile per portare a conoscenza di tutti, con termini semplicissimi, quello che sta accadendo.
Segnalo in particolare il video L’UE sta per piantare l’ultimo chiodo nella bara della privacy.
Trovo apprezzabile il taglio di questo articolo: riesce a raggiungere l’utente medio rendendo comprensibili aspetti che, di per sé, potrebbero risultare complessi. Inoltre, è piacevole leggere un pezzo che affronta un tema “controverso” con toni sobri e garantisti.
Da utilizzatore di Firefox su diversi sistemi operativi, seguo con particolare attenzione l’evoluzione del browser. Nel mio utilizzo cerco sempre di bilanciare rispetto della privacy e praticità d’uso; un compromesso non sempre semplice.
Infine, vorrei spezzare una lancia a favore di Bas Schouten: quantomeno ci ha messo la faccia nel tentativo di spiegare le motivazioni delle scelte fatte, anche se forse non è riuscito del tutto a convincere.
Un piacere leggerti Salvatore. Mi trovi in sintonia anche su Brave e spero di raccogliere alcune informazioni fuorvianti e non verificate sull’iniziativa. Grazie.
Che tristezza, viviamo in tempi dove il browser più rispettoso della privacy di tutti è quello che ti spia meno… Ormai tanto vale usare il browser che più ti fa comodo e basta, perché tanto sul lato privacy lasciano tutti il tempo che trovano. Se uso ancora Firefox è solo perché è l’unico browser cross-platform che permette di usare uBlock anche sugli smarphone Android e basta. È davvero l’unico motivo.
Condivido il tuo pensiero. Ma Brave, senza account sincronizza tutto e blocca tutto anche su smartphone, comprese pubblicità di YouTube.
Non è tanto per la pubblicità, ma uBlock se ben configurato è un addon versatile che blocca script e altri elementi. Su Android (specialmente su quelli poco aggiornati) è una protezione essenziale durante le sessioni di navigazione. Comunque come dicevo ormai un browser vale l’altro e penso che continuerò con Firefox aspettando di vedere come sarà questo “Ladybird”… Anche perché i browser basati su blink non mi fanno impazzire :/
Grazie ma Brave, anche senza estensioni e modifiche di configurazione fa lo stesso, anche su mobile. E si sincronizza senza account alla grande. Ladybird prometterebbe bene in effetti..
Ciao Dario, ottimo video come sempre! Di certo la situazione di Mozilla Firefox è assai critica e, come si suol dire, si è scavata letteralmente la fossa da sé ed è un gran peccato, considerando le grandi potenzialità di aveva questo browser fino a 10/15 anni, a mio parere!
Comunque, una cosa mi viene da dirla sulla questione privacy: se è vero come è vero che l’UE vuole dare una stretta sulla questione, allora che senso avrebbe il famigerato GDPR? A me pare tutta un’assurdità e una manovra anche molto ipocrita, altroché!
Ciao, bello vederti anche qui. Purtroppo come dici, alcune iniziative come GPDR o il DMA sembrano sbiadite dalla più recenti evoluzioni. Penso purtroppo il tema sia quello di farci spiare in casa nostra ma non da oltreoceano….
mi piacerebbe sapere se Floorp che si basa su firefox soffre delle medesime criticità
Che io sappia no e lo uso insieme a Brave.