L'indigestione di biscotti (cosa sono i cookie)

Ormai non si riesce a entrare in un sito senza sentirsi chiedere se accettiamo i cookie (i biscotti in inglese). Sono materia di dibattito da anni, ma che cosa sono esattamente i cookie, come funzionano e per quali scopi vengono usati? Testo tratto dalla rubrica "Controcorrente" di Microsys.

Se li accettiamo allora va tutto bene. Se non li accettiamo allora forse non funzionerà nulla, forse funzionerà qualcosa, forse non cambierà niente. Raramente i siti spiegano in modo comprensibile perché usano cookie e che cosa succederebbe se non volessimo lasciarglieli usare.

Quindi proviamo a dire la nostra. Innanzitutto non si tratta di biscotti, fisici o virtuali. Almeno, per noi il biscotto è una roba buona, questi invece sono una fregatura. Un nome più proprio sarebbe qualcosa come "traccia" oppure "memo". Il cookie è un piccolo file, che il server deposita nel nostro pc quando navighiamo il sito. Lo scopo originale del cookie è di consentire al sito di riconoscere la sessione, perché in realtà http si dimentica tutto da una pagina all'altra. Senza il cookie il sito avrebbe la memoria di un pesce rosso, si dimenticherebbe di noi nel tempo in cui passiamo da una pagina all'altra. E il biscotto è la sua pillola di fosforo (1).

Quindi senza un cookie (o qualcosa di simile) si potrebbe navigare un sito, ma non sarebbe possibile ad esempio fare login e poi navigarlo sempre come la stessa persona. Il server non potrebbe sapere che siamo sempre noi quando cambiamo pagina. Il che ovviamente renderebbe irrealizzabile qualunque sito dove è necessario mantenere una memoria della visita. Il problema è proprio nella memoria. I cookie sono un sistema perfetto per tracciare la navigazione, anche di un utente anonimo. Ad esempio, navigate su un sito di e-commerce e guardate pannolini, poi entrate su un giornale online e compaiono pubblicità di prodotti per bambini? E come facevano a sapere che avete bambini piccoli? Un cookie ha fatto la spia! (ma non ha detto chi eravate, solo che eravate lo stesso che prima cercava pannolini).

Il fatto di poter usare i cookie persistenti (che sono biscotti a lunga conservazione, non scadono dopo che esco dal sito) per ricordare dove è stato un visitatore ha consentito usi di marketing e statistica che non hanno nulla a che fare con l'intento tecnico originale dello strumento. È un poco come se, quando andiamo in giro per negozi, i commessi ci attaccassero degli adesivi sulla schiena, senza dircelo, così poi tutti possono sapere dove siamo stati, se sanno riconoscere gli adesivi. E noi fessi, entrando in un negozio siamo contenti perché ci ricevono dicendo "vedo che è già stato da noi…"

E ormai il "vero sito" sente l'obbligo di raccogliere informazioni anche se non gli servono, un po' come il "vero uomo", che non può chiedere scusa… (2). Teniamo presente che stiamo parlando anche di utenti anonimi, che non hanno volontariamente inserito informazioni personali o anagrafiche, creato un account o che si siano fatti riconoscere in un qualsiasi modo. E che quindi non si aspettano di essere oggetto di una raccolta di informazioni e di una profilazione. Ma anche per gli utenti autenticati, il raccogliere ed elaborare dati su quello che hanno fatto navigando Internet non dovrebbe essere liberamente consentito.

E infatti non lo è, un po' perché in realtà il GDPR non lo permette, anche se in modo non proprio esplicito, e poi perché a un certo punto, ancora prima del GDPR il legislatore si è accorto di questo uso indiscriminato dei biscotti, e ha pensato di intervenire. E qua non ci troviamo d'accordo col legislatore… Perché il legislatore, che in nessun caso può pensare a una soluzione semplice per un qualsiasi problema, ha ritenuto che la cosa da fare fosse di dire qualcosa come "non lo puoi fare senza permesso"(3).

E il risultato ovvio è che ora ogni volta che entriamo in un sito ci sentiamo chiedere "posso usare i cookie?", spesso seguito da una serie di opzioni incomprensibili nel loro scopo e nei loro effetti. Oppure ci sono due sole opzioni "1- accetta tutto e non rompere", oppure "2 - perdi mezz'ora a leggere un'informativa e a decidere quali cookie ti piacciono e quali no". Certi siti particolarmente antipatici ti lasciano entrare ma dopo poco bloccano tutto fino a quando non rispondi, ma devi prima capire che ti stanno facendo una domanda che non puoi ignorare. Altri mettono un banner piccolo piccolo in alto, che facilmente non vedi e ignori, e quindi si applica, ahimè, il silenzio assenso.

La soluzione semplice, e secondo noi logica, sarebbe di dire che i cookie di sessione sono sempre permessi, quelli persistenti mai. E così si riuscirebbe a entrare nei siti senza dover litigare con l'informazione sui biscotti e si potrebbe uscirne senza il timore di avere qualche adesivo attaccato alla schiena.

-- -- --

NOTE:

(1) Per una spiegazione informale (ma un poco datata) sui cookie si veda ad esempio The History of Cookies and Their Effect on Privacy | Digital Trends: una discussione non tecnica su che cosa sono e qualche considerazione su come vengono usati.

(2) I cookie sono più diffusi di quanto si possa sospettare. Per una discussione un po' complessa ma interessante per i numeri che riporta: www16_final.pdf (wisc.edu).

(3) Provvedimento del Garante dell'8 maggio 2014: Individuazione delle modalità semplificate per l’informativa e... - Garante Privacy. E, sempre del garante Cookie - Garante Privacy una spiegazione semplificata di cosa sono e delle leggi che ne regolano l'utilizzo.