Fingerprinting: cos’è, a cosa serve, come ci si difende.

Il fingerprinting è una tecnica che consente di prendere le impronte digitali di un dispositivo informatico attraverso la rilevazione di alcune informazioni sostanzialmente non modificabili fornite dal browser, in modo da poter tenere traccia di quel dispositivo per una serie infinita di scopi.

Non è un caso, infatti, che oggi il fingerprinting costituisca una tecnica potenzialmente pericolosa per tutti coloro i quali hanno a cuore l’anonimato durante la navigazione nel Web; in effetti, il fingerprinting oggi è molto usato dai gestori dei circuiti pubblicitari per eludere eventuali restrizioni o problemi con i cookie.

Sappiamo benissimo che ormai da diversi anni, chi gestisce un sito web deve sbattere la testa contro la normativa vigente in tema di raccolta dati attraverso i cookie: dapprima con la famigerata Cookie Law e adesso con le innovazioni dal GDPR. Non è un compito facile e spesso è bene servirsi dell’aiuto di un professionista esperto di questa materia, piuttosto che rischiare di incappare in pesanti sanzioni come causa di una banale imperizia.

Tuttavia i big player della pubblicità online sembrano voler mettere da parte i cookie – piccoli file salvati localmente –  per abbracciare definitivamente e manifestamente il fingerprinting.

Devo preoccuparmi per il fingerprinting?

La fondazione Mozilla definisce il fingerprinting come “pericoloso” poiché dannoso per l’intero Web. Sfruttando questa tecnica, alcuni siti web seguono (appunto, tracciano) il visitatore anche quando questi si sposta in altri siti web: è la tecnica del retargeting degli annunci pubblicitari che fa sì che il visitatore veda annunci di siti o prodotti già visualizzati, anche se si trova in un sito completamente diverso.

Il visitatore, perciò, inizia ad avere la sensazione che le pubblicità lo seguano ovunque, nonostante si affanni a rifiutare i cookie o, addirittura, a impostare il browser affinché non li salvi o li cancelli automaticamente all’uscita: il fingerprinting entra in gioco proprio in queste circostanze poiché

il browser fingerprinting e i cookie sono due tecnologie sono completamente differenti: il browser fingerprinting usa alcuni script per tracciare l’attività di un visitatore attraverso molteplici siti, a prescindere da qualsiasi tentativo di blocco dei cookie.

L’impronta digitale di un browser (appunto: fingerprint, in inglese) è immodificabile ed essa può essere ricavata e recuperata senza che un sito web debba necessariamente scrivere un cookie, poiché basta salvare il valore dell’impronta in un database che il sito web interrogherà a ogni nuova visita per confrontarla con quella del browser del visitatore appena giunto sul sito: se l’impronta del visitatore è già presente in archivio, allora significa che quello è il browser di un visitatore di ritorno.

Il fingerprinting è considerato tanto nocivo per il Web da aver indotto il sito Disconnect.me a creare una lista di siti web che praticano questa tecnica, e da spingere Mozilla Foundation a utilizzare quella lista per far sì che Firefox blocchi il fingerprinting per impostazione predefinita (sin dalla versione 72).

Facciamo una prova?

La tecnica di cui stiamo scrivendo è talmente invasiva da funzionare anche se si naviga con la modalità anonima del browser e il seguente video ne è dimostrazione. Ho utilizzato il servizio “Browser Privacy Check” di Digitale.co: questo ricava una serie di dati che ogni browser è in grado di rivelare – posizione geografica, sistema operativo, dati sull’hardware e altro – nonché la capacità di bloccare o meno gli annunci pubblicitari e i tracker (gli script traccianti usati anche per il fingerprinting).

In fondo alla pagina ci viene proposto di sperimentare il fingerprinting. Come è possibile vedere, non ho accettato i cookie di Digitale.co e, pertanto, il sito non è autorizzato a scriverli. Inserisco il mio nome nella casella di testo e clicco il bottone; successivamente, dopo aver copiato l’indirizzo indicato nella descrizione dell’esperimento, apro una seconda finestra di Firefox in modalità Anonima e incollo l’indirizzo. Sorpresa! Lo script di Digitale.co ha usato la tecnica del fingerprinting per riconoscere il mio browser senza l’uso di alcun cookie.

Come difendersi?

Sebbene Digitale.co suggerisca alcune soluzioni come l’etensione Privacy Badger della Electronic Frontier Foundation (EFF), per la mia esperienza personale consiglio le seguenti alternative:

Queste due estensioni sono in grado di alterare il processo di fingerprinting ogni volta che un sito esegue uno script tracciante, così da fornire un’impronta digitale diversa a ogni accesso. Entrambe le estensioni funzionano già dalla loro installazione e di norma non richiedono una configurazione particolare, tuttavia alcuni siti web potrebbero funzionare male e, quindi, in tal caso è opportuno disattivare l’estensione per quel sito oppure modificare la configurazione per risolvere il problema.