CYBER-WAR: l’altra faccia della guerra Russia – Ucraina che mette a rischio le imprese italiane

Dark Pattern - il tuo sito viola la privacy?

L’EDPB il 14 marzo ha emesso nuove e dettagliate linee guida relative ai dark pattern, ossia tecniche utilizzate per indurre surrettiziamente gli utenti web ad adottare comportamenti non intenzionali.

COSA SIGNIFICA DARK PATTERN?

I Dark patterns sono interfacce o esperienze, implementate sulle piattaforme social, che portano l’utente a compiere azioni non intenzionali e prendere decisioni potenzialmente dannose relativamente al trattamento di dati personali.

Per interfacce utente intendiamo qualsiasi mezzo attraverso il quale l’utente interagisce con le piattaforme web, come, ad esempio, il classico form di raccolta dati per l’iscrizione alla newsletter.

In sintesi, i dark pattern sono interfacce o esperienze che, seppur da un punto di vista formale possono apparire conformi alla normativa privacy europea, la violano sotto il profilo sostanziale, incidendo direttamente sulla capacità di autodeterminazione dell’utente, facendo leva su particolari aspetti cognitivi.

Le categorie di dark pattern individuate dall’EDPB sono sei e sono state elaborate in base agli effetti provocati sull’utente:

Overloading (sovraccaricare). L’utente viene “aggredito” con una grande quantità di richieste, informazioni, opzioni e possibilità, per indurlo a fornire più dati o concedere involontariamente il proprio consenso ad uno specifico trattamento di dati.

Skipping (saltare), le interfacce inducono l’utente a dimenticare o non pensare alla protezione dei propri dati personali;

Stirring (stimolare), l’utente viene indotto a compiere azioni, per mezzo di stimoli emotivi e/o visivi;

Hindering (ostacolare) ostacolano e/o rendono difficoltosa l’informazione e la gestione dei propri dati;

Fickle (mutare) il design dell’interfaccia è incoerente e non chiaro, in modo tale da ostacolare l’identificazione della finalità del trattamento;

Left in the dark (lasciare all’oscuro), l’interfaccia nasconde informazioni e/o gli strumenti di controllo della data protection.

Le linee guida sottolineano che tali indicazioni devono essere applicate all’intero ciclo di vita di un account utente. Questo significa che tali modalità di interazione titolare – interessato devono sempre essere evitate, dalla registrazione dell’account fino alla chiusura del profilo stesso.

 

ALCUNI ESEMPI PRATICI

Le linee guida riportano diversi esempi, non tassativi, di dark pattern.

Un esempio di Overloading è il continuous prompting (richieste continue). Questa tipologia di dark pattern consiste nel chiedere ripetutamente agli utenti di fornire il proprio numero di telefono, per fini di protezione dell’account ogni volta che accedono al proprio profilo. Tale richiesta viene reiterata nonostante il fatto che gli utenti abbiano precedentemente rifiutato di fornire la propria utenza telefonica, sia durante il processo di registrazione, che all’ultimo accesso. Questa interfaccia viola il principio di minimizzazione, in quanto i dati già forniti dagli utenti all’atto di registrazione sono sufficienti a proteggere l’account. Ad esempio, per garantire la sicurezza dell’account, è possibile effettuare un’autenticazione avanzata senza il numero di telefono, semplicemente inviando un codice agli account di posta elettronica.

Un esempio di Skipping è invece il Deceptive Snugness (accoglienza ingannevole):

Protezione dati personali

Questo è un modello di accoglienza ingannevole, in quanto l’opzione attivata di default non è quella che offre il livello più alto di protezione dei dati.

Un esempio Left in the Dark è il Conflicting Information (informazioni contrastanti):

conflicting information

In questo esempio le informazioni relative alla condivisione dei dati da parte dell’utente hanno un aspetto “accogliente e confortevole”. Infatti, viene utilizzata l’immagine di un simpatico animale, al fine di creare l’illusione di condividere i propri dati in modo sicuro. Tuttavia, le informazioni riportate in questa interfaccia sono manifestamente incoerenti e non trasparenti: in prima battuta viene permesso all’utente di impostare le preferenze di condivisione dati a proprio piacimento, in seguito si afferma che ciò non è possibile qualora l’utente abbia già pubblicato contenuti sulla piattaforma.

VUOI SAPERNE DI PIÙ?

Partecipa al nostro webinar del 29/04/2022:

GESTISCI UN E-COMMERCE? scopri come cookie law, GDPR e T&C ridefiniscono la UX Design 2022