Le attuali leggi sulla privacy non proteggono le persone dalla sorveglianza pervasiva delle Big Tech, per cui gli utenti online si trovano costretti ad adottare tattiche di ostruzionismo.
di Lee McGuigan
Ormai ci siamo passati tutti: navigando sul Web e imbattendoci in annunci dal sapore inquietante. Come facevano a sapere che stavo pensando di entrare in palestra? O cambiare lavoro? O che ho bisogno di un prestito? Vieni da chiedersi se Google è in grado di leggere nelle nostre menti. L’azienda si vanta di conoscerci meglio di quanto siamo in grado di fare noi stessi.
Google non può leggere la mente, ovviamente, ma conosce le cronologie delle ricerche. Tiene traccia anche della navigazione web. Google dispone di un’enorme quantità di dati sui suoi utenti e li utilizza per ricavare dalla pubblicità una quantità di denaro inimmaginabile: oltre 120 miliardi di dollari all’anno. L’azienda gestisce una vasta macchina di profilazione, inserendo le persone in categorie che dicono chi sono, quanto valgono e come ci si aspetta che agiscano. Google non sta solo organizzando le informazioni mondiali, ma sta catalogando le popolazioni mondiali.
Molti dei dispositivi e delle piattaforme digitali che le persone utilizzano ogni giorno sono progettati per rendere gli utenti trasparenti per le aziende che desiderano prevedere, influenzare e valutare il loro comportamento. Questa pubblicità che segue costantemente ogni nostro spostamento ha costi sociali importanti. Solo per cominciare: erode la privacy, perpetua forme di discriminazione e sottrae denaro al giornalismo di interesse pubblico di cui le democrazie hanno bisogno per sopravvivere. I legislatori non hanno agito con decisione per mitigare questi costi.
Alcuni attivisti, frustrati dall’incapacità delle autorità di limitare efficacemente le azioni di Google, hanno preso in mano la situazione. Nel 2014, Daniel Howe, Mushon Zer-Aviv e Helen Nissenbaum hanno rilasciato un’estensione per il browser chiamata AdNauseam che fa clic automaticamente sugli annunci web per interferire con il monitoraggio e la profilazione comportamentale. Nissenbaum è a capo di un gruppo di ricerca alla Cornell Tech, di cui faccio parte.
AdNauseam è uno strumento di offuscamento. Le tattiche di offuscamento sono una sorta di guerriglia in sostituzione della mancata protezione della privacy. Dal momento che non è possibile nascondersi dai sistemi di sorveglianza di Google, queste tattiche introducono informazioni inaccurate o eccessive per confonderle e infine sabotarle.
Non è un’idea nuova. Come ha scritto Nissenbaum con Finn Brunton in un saggio del 2019:”Siamo circondati da esempi di offuscamento di cui non siamo consapevoli”. Può essere qualcosa di semplice come aggiungere articoli extra a un carrello della spesa in farmacia per depistare chi controlla. Il browser Tor, che aggrega il traffico web degli utenti in modo che non sia possibile isolare l’utente, è forse uno degli esempi di maggior successo di offuscamento sistematico.
AdNauseam è come un software di blocco degli annunci convenzionale, ma con un livello aggiuntivo. Invece di rimuovere semplicemente gli annunci quando l’utente naviga in un sito Web, fa anche clic automaticamente su di essi. Facendo sembrare che l’utente sia interessato a tutto, AdNauseam rende difficile per gli osservatori costruire un profilo di quella persona. È come disturbare il radar inondandolo di falsi segnali. Ed è regolabile. Gli utenti possono scegliere di fidarsi degli inserzionisti che rispettano la privacy mentre mettono fuori strada gli altri. Possono anche scegliere se fare clic automaticamente su tutti gli annunci di un determinato sito Web o solo su una percentuale di essi.
Non sorprende che Google non gradisca AdNauseam. Nel 2017, ha bandito l’estensione dal suo Chrome Web Store. Dopo che Nissenbaum ha tenuto una conferenza su AdNauseam nel 2019 presso l’Università della California, a Berkeley, alcuni scettici tra il pubblico, compresi i dipendenti di Google, hanno messo in dubbio le sue affermazioni. Gli algoritmi di Google avrebbero rilevato e rifiutato facilmente i clic illegittimi: AdNauseam non avrebbe potuto competere con le sofisticate difese di Google.
Nissenbaum ha preso sul serio questi dubbi e si è impegnato a cercare di capire se AdNauseam funzionava come previsto. Mi sono unito al suo tentativo di aprire un sito web e acquistare annunci in base al “costo per clic” – vale a dire che l’inserzionista paga ogni volta che un utente fa clic sull’annuncio – in modo da poter vedere se i clic generati da AdNauseam sono stati accreditati all’ editore e fatturati all’inserzionista.
I nostri test hanno stabilito che AdNauseam, la maggior parte delle volte, funziona davvero. Ma man mano che l’esperimento si sviluppava, non si trattava solo di risolvere questa limitata questione. Volevamo provare a capire cosa succedeva all’interno della scatola nera delle piattaforme di vendita pubblicitaria incredibilmente redditizie di Google in un modo che nessun altro al di fuori dell’azienda aveva mai fatto.
Il primo passaggio dell’esperimento prevedeva la creazione di un sito web e di un account AdSense, vale a dire un servizio di vendita di Google per piccoli editori che non hanno i mezzi per attirare da soli gli inserzionisti. Per una commissione del 32 per cento, Google gestisce l’intero processo di monetizzazione del traffico di un sito web: vende gli annunci, conta i clic, raccoglie ed effettua i pagamenti e controlla eventuali frodi. Se chi mostrava scetticismo nei confronti del discorso di Nissenbaum aveva ragione, è stato il nostro ragionamento, AdSense avrebbe dovuto realizzare che qualcosa non andava con i clic di AdNauseam e rifiutarli.
Successivamente, abbiamo creato una campagna per fare pubblicità sul sito utilizzando Google Ads, il servizio che acquista spazio pubblicitario per gli inserzionisti. Google Ads è per gli inserzionisti ciò che AdSense è per i publisher. I piccoli inserzionisti dicono a Google che tipo di persone vorrebbero raggiungere e quanto sono disposti a pagare, quindi l’azienda va alla ricerca degli utenti mentre navigano in una serie di siti. In questo caso, la campagna è stata impostata per essere eseguita solo sul nostro sito e per superare le offerte degli inserzionisti concorrenti. L’abbiamo impostato in questo modo perché non volevamo trarne profitto o coinvolgere utenti inconsapevoli nel nostro esperimento.
Posizionati ora su entrambi i lati di una transazione pubblicitaria, eravamo pronti per osservare il ciclo di vita di un clic su un annuncio dall’inizio alla fine. Abbiamo invitato singoli volontari a scaricare AdNauseam e visitare il nostro sito. In breve abbiamo registrato il successo di alcune decine di clic AdNauseam, fatturati all’account dell’inserzionista del nostro team e accreditati sull’account del publisher. AdNauseam stava funzionando.
Ma in questo modo si è solo dimostrato che Google non ha scartato il primo clic su un annuncio generato da un nuovo utente AdNauseam reclutato appositamente per l’esperimento. Per mettere a tacere gli scettici, dovevamo verificare se Google avrebbe imparato a riconoscere i clic sospetti nel tempo.
Per questa ragione abbiamo eseguito l’esperimento con persone che utilizzavano già AdNauseam da tempo. Per chiunque sia esperto, questi utenti non passano inosservati, perché con le impostazioni predefinite di AdNauseam sembrano fare clic sul 100 per cento degli annunci che vedono. Gli utenti possono regolare la percentuale di clic, ma anche al 10 per cento sarebbero fuori dalla norma in quanto la maggior parte delle persone si attesta sull’1 per cento. Questo test, quindi, è stato progettato per verificare se Google avrebbe ignorato i clic di AdNauseam da un browser con un record di lunga data di percentuali di clic astronomiche. Se i sistemi di machine learning di Google sono così intelligenti, non dovrebbero avere problemi a farlo.
Lo abbiamo testato in due modi.
Innanzitutto, con le persone: abbiamo reclutato utenti AdNauseam di lunga data per far visitare loro il nostro sito web. Abbiamo anche invitato i nuovi utenti di AdNauseam a utilizzare il software di clic per una settimana nel corso della loro normale navigazione web, in modo da stabilire una cronologia, e quindi a partecipare al test.
In secondo luogo, abbiamo condotto un test automatico utilizzando un software chiamato Selenium, che simula il comportamento di navigazione umana. Con questo strumento, un browser dotato di AdNauseam ha navigato tra siti e pagine web e cliccato sugli annunci lungo il percorso. Fondamentalmente, questo ci ha consentito di creare rapidamente un record di attività di clic prolifica, controllando rigorosamente le variabili che inducono Google a classificare o meno un clic come “autentico”. Abbiamo impostato quattro di questi browser automatizzati e li abbiamo eseguiti rispettivamente per uno, due, tre e sette giorni.
Alla fine di ogni periodo, abbiamo indirizzato i browser al nostro sito sperimentale per vedere se AdSense accettava i loro clic come legittimi. Il browser Selenium che è stato eseguito per sette giorni, per esempio, ha fatto clic su più di 900 annunci Google, e quasi 1.200 annunci in tutto. Se i sistemi di Google sono davvero sensibili a comportamenti sospetti di clic, questo dovrebbe aver fatto scattare un campanello d’allarme.
La maggior parte dei nostri test ha avuto successo. Google ha filtrato i clic sul nostro sito dal browser automatizzato che ha funzionato per tre giorni, ma non la stragrande maggioranza degli altri clic, né da parte degli utenti ordinari di AdNauseam né dai test automatizzati ad alto volume, in cui i browser facevano clic su più di 100 annunci Google al giorno. In breve, le difese avanzate di Google non erano sensibili al tipo di comportamento di clic tipico dell’utilizzo di AdNauseam.
Ben presto abbiamo raccolto 100 dollari nel nostro account AdSense, sufficienti per farci mandare da Google un assegno per posta. Non eravamo sicuri di cosa farne. Questo denaro non è stato ottenuto in modo illecito, ma stavamo solo recuperando i soldi che avevamo investito nell’account dell’inserzionista, meno la percentuale del 32 per cento incassata da Google. Abbiamo deciso di non incassare l’assegno. Era sufficiente sapere che avevamo dimostrato che, fino a quel momento, AdNauseam aveva funzionato. L’assegno era come un certificato di successo.
Tuttavia, il nostro esperimento non può rispondere ad altre importanti domande. Se si utilizza AdNauseam, in che modo i suoi clic influiscono sul profilo che Google ha creato sull’utente? AdNauseam protegge con successo dall’essere presi di mira dalla pubblicità? (Dopo tutto, anche se si utilizza l’estensione, Google può comunque raccogliere grandi quantità di dati dalla posta elettronica, dalla cronologia delle ricerche e da altre fonti). La risposta a queste altre domande richiede, però, un accesso privilegiato a molti più nodi della pubblicità online.
In realtà, non possiamo nemmeno sapere in modo definitivo perché il nostro test ha funzionato, perché Google non ha rilevato questi clic di AdNauseam. E’ stata una carenza effettiva o una mancanza di volontà? La carenza significherebbe che le difese di Google contro i clic automatici sugli annunci sono meno sofisticate di quanto afferma l’azienda. Tuttavia, per quanto lusinghiero sarebbe concludere che il nostro piccolo team ha “ingannato” una delle aziende più potenti della storia, sembra inverosimile.
La spiegazione più probabile è la mancanza di volontà. Google guadagna ogni volta che si fa clic su un annuncio. Se gli inserzionisti scoprissero che gli vengono addebitati clic fasulli, ciò minerebbe ovviamente la fiducia nel business degli annunci online. Ma gli inserzionisti non possono trovare conferma a questi sospetti senza la possibilità di guardare da entrambe le estremità del mercato, come abbiamo fatto noi. E anche se potessero, il dominio di mercato di Google rende difficile spostare la loro attività altrove.
In una dichiarazione, la portavoce di Google Leslie Pitterson ha scritto: “Rileviamo e filtriamo la stragrande maggioranza di questa attività falsa automatizzata. Trarre conclusioni da un esperimento su piccola scala non è rappresentativo dei metodi avanzati di rilevamento del traffico di Google e del lavoro in corso per combattere la frode pubblicitaria. Investiamo molto nel rilevamento del traffico non valido, compreso quello automatizzato da estensioni come AdNauseum, per proteggere utenti, inserzionisti ed editori, poiché la frode pubblicitaria danneggia tutti nell’ecosistema, inclusa Google”.
Se, contrariamente alle affermazioni di Pitterson, i risultati del nostro esperimento reggono su larga scala, potrebbe essere una cattiva notizia per gli inserzionisti, ma è una buona notizia per gli utenti di Internet. Significa che AdNauseam è uno dei pochi strumenti che le persone comuni hanno attualmente a disposizione per proteggersi dalla profilazione invasiva.
Tuttavia, è una difesa temporanea e imperfetta. Se Google trova un modo, o la volontà, di neutralizzare AdNauseam, qualunque utilità abbia potrebbe essere di breve durata. AdNauseam potrebbe adattarsi per evitare la controffensiva di Google, ma ovviamente una corsa agli armamenti favorirà Google.
I governi e le autorità di regolamentazione hanno generalmente omesso di elaborare o applicare regole che impediscono tecniche di sorveglianza a fini commerciali. È vero che alcune leggi recenti, come il Regolamento generale sulla protezione dei dati (GDPR) della UE e il California Consumer Privacy Act, hanno limitato la capacità delle aziende di vendere o condividere con terzi i dati personali.
Tuttavia, queste leggi non limitano la capacità di Google di essere un osservatore di prima parte per molte attività su Internet e molte transazioni pubblicitarie. In effetti, l’azienda potrebbe trarre vantaggio da queste leggi sulla privacy, poiché limitano la capacità di concorrenti e clienti di disporre dei dati che Google ha acquisito, diventando sempre più dipendenti dall’azienda.
AdNauseam non impedisce a Google di fare il suo lavoro, ma consente alle persone di protestare contro questi cicli di sorveglianza e targeting comportamentale che hanno trasformato gran parte del mondo online in un incubo per la privacy. L’offuscamento è un atto di resistenza che serve a minare la fiducia nel monitoraggio e nel targeting e a erodere il valore dei profili di dati, nella speranza che gli inserzionisti e le aziende di tecnologia pubblicitaria possano iniziare a trovare poco pratico e non redditizio spiare le persone. Chiunque desideri un’attività pubblicitaria online meno invasiva può provare AdNauseam.
Un altro importante vantaggio dell’utilizzo di AdNauseam è che, nella misura in cui riesce a offuscare, aiuta a proteggere la privacy di tutti , non solo delle persone che lo utilizzano. Questo perché le informazioni personali possono coinvolgere persone legate a noi.
Se due persone visitano gli stessi siti web, i professionisti del marketing potrebbero utilizzare ciò che sanno di una per esprimere un giudizio sull’altra. Gli utenti di AdNauseam, mascherando le proprie preferenze, rendono i risultati dei motori di profilazion meno affidabili. Ma, in un certo senso, gli scettici hanno ragione: alcuni programmatori e ricercatori non possono confrontarsi con i titani tecnologici.
L’offuscamento non può sostituire la forza della legge, per contrastare questo tipo di pubblicità di che domina Internet. Per fortuna, alcuni governi stanno intentando cause antitrust contro Google e Facebook, con indagini sulle pratiche relative ai dati delle aziende, emettendo multe per le trasgressioni e lavorando a tutele della privacy più efficaci. Ma per ora, le tattiche di guerriglia come AdNauseam sono le uniche armi valide a disposizione.
Immagine di: USAF
(rp)
