I Cookie 2 Giugno: Normativa Per Spiarti!

05/06/2015 – Dal 2 Giugno 2015 è operativa la normativa Europea in materia di privacy inerente i così detti “cookies“, cioè quelle informazioni che, spesso all’insaputa dei navigatori in Internet, vengono memorizzate dal programma che si utilizza per navigare sula propria macchina e Smartphone o Tablet: Mozilla Firefox, Internet Explorer, Opera Web, Safari e simili. Tali informazioni possono essere di natura “tecnica” cioè utilizzate dai sistemi per riconoscere ad esempio la lingua scelta per navigare su un determinato sito web.

È stato stabilito quindi che dal 2 Giugno in poi tutti i siti web o servizi che utilizzano cookies di profilazione debbano chiaramente riportare su tutte le pagine in posizione ben visibile un banner od un avviso che informi l’utente in merito all’uso dei cookies di profilazione, permettendo poi all’utente se accettare o meno gli stessi. Una volta fatta la scelta normalmente il banner sparisce, ma a questo punto l’utente è informato in merito alla qualità e quantità di informazioni personali che lascerà su quel portale.

Questa Normativa È Solo Una Presa In Giro!

Ogni sito web pubblico che utilizza i cookies per scopi commerciali Devono essere bannati da tutti. Infatti, sei costretto tuo malgrado l’accettazione dei così detti “Biscottini” per poter continuare l’uso dei servizi del sito web. Non accettando sarai impossibilitato nella navigazione, o comunque, ti troverai il banner per accettare i cookies sempre in bella mostra dandoti all’infinito un enorme disagio. La norma è stata inserita per controllare l’utenza, nulla di più. A questo punto la domanda sorge spontanea: perchè non rendere il sito web privato? Domanda legittima, considerando che i cookies, spesso e volentieri, non sono altro che uno strumento di monitoraggio su quello che fai su internet. Un modo semplice per controllare ciò che ti piace o meno. Un modo semplice e mirato per introdurre sempre più pubblicità mirate durante la tua navigazione. Cosa ancora più grave è la mancanza di libertà durante la tua navigazione di decidere cosa cercare in un motore di ricerca. Attraverso i cookies, l’indirizzo IP, un determinato servizio può pilotare le tue scelte. Come? Ad esempio Google pilota le visite dei video YouTube, così come ciò che cerchi nel motore di ricerca. Infatti i risultati ottenuti, in Google, possono riportare siti web commerciali o che fanno comunque parte di un giro commerciale. Per capire di cosa parlo, prova a digitare “Software Video” nel tuo motore di ricerca preferito. Nella prima pagina compariranno i siti web che utilizzano i servizi Google. Google permette a tutti l’uso dei suoi servizi, come ad esempio il monitoraggio di utenza, IP provenienza, Paese provenienza e OS e tipo di Browser web in uso. Tutte queste informazioni inizialmente “prive di valore” sono indice di un web pilotato al solo scopo di un business sempre più serrato. La tua Privacy sarà sempre messa in discussione. Non permettere alle grandi multinazionali di controllare i tuoi gusti.

Pardosso Dei Cookies

“I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l’utilizzo dei cookie da parte di Pinco Pallino…”

Se non acconsenti l’uso dei cookie, che cosa succede? Di norma nulla di particolare. Il banner informativo non scompare e rimane perenne in ogni pagina web. Alcuni banners sono altamente invadenti, cioè non ti permettono una normale navigazione sul sito web. Se decido di non utilizzare i cookie, perchè il banner è sempre visibile? La normativa è stata inserita per aumentare il business ed marketing di marchi e aziende potenti nella grande rete internet. Un modo nuovo legale per spiarti. Nulla ti viene regalato!

NAMP non usa i “Cookies“.. NAMP si dissocia nell’uso del banner informativo. Combatterà fino alla fine!

Utilizzi il banner informativo nel tuo portale? Allora rendilo privato e non rompere i così detti “Zebedei“.

Cookie (Wikipedia)

In informatica i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate per eseguire autenticazioni automatiche, tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server, come ad esempio siti web preferiti o, in caso di acquisti via internet, il contenuto dei loro “carrelli della spesa“. In termini pratici e non specialistici, un cookie è un piccolo file, memorizzato nel computer da siti web durante la navigazione, utile a salvare le preferenze e a migliorare le prestazioni dei siti web. In questo modo si ottimizza l’esperienza di navigazione da parte dell’utente.

Nel dettaglio, sono stringhe di testo di piccola dimensione inviate da un server ad un Web client (di solito un browser) e poi rimandati indietro dal client al server (senza subire modifiche) ogni volta che il client accede alla stessa porzione dello stesso dominio web. Il termine “cookie” – letteralmente “biscotto” – deriva da magic cookie (biscotto magico), concetto noto in ambiente UNIX che ha ispirato sia l’idea che il nome dei cookie HTTP.

Ogni dominio o sua porzione che viene visitata col browser può impostare dei cookie. Poiché una tipica pagina Internet, ad esempio quella di un giornale in rete, contiene oggetti che provengono da molti domini diversi e ognuno di essi può impostare cookie, è normale ospitare nel proprio browser molte centinaia di cookie.

Generalità

Poiché possono essere usati per monitorare la navigazione su Internet, i cookie sono oggetto di discussioni concernenti il diritto alla privacy. Molti paesi ed organizzazioni, fra cui gli Stati Uniti e l’Unione europea, hanno legiferato in merito. I cookie sono stati inoltre criticati perché non sempre sono in grado di identificare l’utente in modo accurato ed inoltre perché possono potenzialmente essere oggetto di attacchi informatici. Esistono alcune alternative ai cookie, ma tutte, insieme ad alcuni vantaggi, presentano controindicazioni.

I cookie vengono spesso erroneamente ritenuti veri e propri programmi e ciò genera errate convinzioni. In realtà essi sono semplici blocchi di dati, incapaci, da soli, di compiere qualsiasi azione sul computer. In particolare non possono essere né spyware, né virus. Ciononostante i cookie provenienti da alcuni siti sono catalogati come spyware da molti prodotti anti-spyware perché rendono possibile l’individuazione dell’utente. I moderni browser permettono agli utenti di decidere se accettare o no i cookie, ma l’eventuale rifiuto rende alcuni oggetti inutilizzabili. Ad esempio, gli shopping cart implementati con i cookie non funzionano in caso di rifiuto.

Caratteristiche

Un cookie è un header aggiuntivo presente in una richiesta (Cookie:) o risposta (Set-cookie:) HTTP: nel caso il server voglia assegnare un cookie all’utente, lo aggiungerà tra gli header di risposta. Il client deve notare la presenza del cookie e memorizzarlo in un’area apposita (in genere, si utilizzava una directory dove ogni cookie veniva memorizzato in un file, Attualmente i cookies sono gestiti in maniera molto più evoluta, in un unico file, per esempio Mozilla e Chrome usano SQL – SQLite). Il cookie è composto da una stringa di testo arbitraria, una data di scadenza (oltre la quale non deve essere considerato valido) e un pattern per riconoscere i domini a cui rimandarlo. È possibile impostare più cookie in una sola risposta HTTP.

Il browser client rimanderà il cookie, senza alcuna modifica, allegandolo a tutte le richieste HTTP che soddisfano il pattern, entro la data di scadenza. Il server può quindi scegliere di assegnare il cookie di nuovo, sovrascrivendo quello vecchio. Il reinvio tramite pattern permette a tutti i sottodomini di un dato dominio di ricevere il cookie, se così si vuole.

I cookie vengono utilizzati per aggiungere uno stato ad un protocollo privo di stato. Senza i cookie non vi sarebbe differenza in una pagina caricata prima di effettuare un login, dalla stessa pagina caricata dopo. Dato che i cookie permangono nel sistema per lunghi periodi, i siti possono assegnare un indice all’utente e tenere traccia della sua navigazione all’interno del sito, solitamente allo scopo di creare statistiche.

I cookie possono essere utilizzati anche per tracciare la navigazione su siti terzi, nel caso in cui questi siti terzi utilizzino contenuti provenienti dal sito che ha impostato il cookie. Solitamente la pubblicità sui siti viene gestita da compagnie che hanno inserzioni su svariati siti internet. Il contenuto della pubblicità stessa viene caricato direttamente dal loro server (tramite una richiesta http) e visualizzato in maniera integrata nel sito che l’utente desidera visitare. In questo modo il server della compagnia pubblicitaria riceverà dal browser dell’utente l’indirizzo della pagina che si sta visualizzando, e potrà inviare un cookie al client. Tramite questo meccanismo le società pubblicitarie possono creare profili personalizzati per gli utenti e mostrare loro pubblicità mirate.

Come È Fatto Un Cookie

Contrariamente a quanto comunemente si crede, un cookie non è un piccolo file di testo: può essere sì memorizzato in un file di testo, ma non necessariamente. Nel cookie solitamente possiamo trovare sei attributi:

-» Nome/valore è una variabile ed un campo obbligatorio.
-» Scadenza (expiration date) è un attributo opzionale che permette di stabilire la data di scadenza del cookie. Può essere espressa come data, come numero massimo di giorni oppure come Now (adesso) (implica che il cookie viene eliminato subito dal computer dell’utente in quanto scade nel momento in cui viene creato) o Never (mai) (implica che il cookie non è soggetto a scadenza e questi sono denominati persistenti).
-» Modalità d’accesso (HttpOnly) rende il cookie invisibile a javascript e altri linguaggi client-side presenti nella pagina.
-» Sicuro (secure) indica se il cookie debba essere trasmesso criptato con HTTPS.

Dominio E Percorso

Il dominio (domain) e il percorso (path), definiscono l’ambito di visibilità del cookie, indicano al browser che il cookie può essere inviato al server solo per il dominio e il percorso indicati. Se non specificati, come predefiniti prendono il valore del dominio e del percorso che li ha inizialmente richiesti. Un esempio di direttiva per la creazione dei cookie da parte di un sito web in seguito al logon di un utente è la seguente.

Il primo cookie LSID ha come dominio predefinito docs.foo.com e percorso /accounts, che indicheranno al browser di usare il cookie solo quando la pagina richiesta contiene docs.foo.com/accounts. Gli altri 2 cookie HSID e SSID potranno essere inviati dal browser al server quando sono visitati, qualsiasi dei sottodomini in .foo.com con qualsiasi percorso, ad esempio www.foo.com/.

I cookie possono essere impostati solo da i domini principali e i loro sottodomini.

Applicazioni E Problemi Sulla Privacy

Nel 1994 vennero utilizzati originariamente per controllo, dovevano documentare se i visitatori del sito di Netscape lo avessero già visitato. Nel 1995 la gestione dei cookie è stata integrata in Internet Explorer 2. L’introduzione dei cookie inizialmente non è stata conosciuta da un ampio pubblico, ma se ne iniziò a parlare dopo un articolo pubblicato sul Financial Times il 12 Febbraio 1996. Il dibattito che si scatenò aveva come tema le implicazioni dei cookie sulla segretezza. I cookie furono oggetto di due udienze della Commissione degli Stati Uniti in commercio federale nel 1996 e nel 1997. Da queste date si incominciò a regolare gli utilizzi dei cookie.

Oggi le applicazioni più comuni vanno dalla memorizzazione di informazioni sulle abitudini dell’utente stesso all’interno dei siti web che visita. Tali applicazioni hanno spesso sollevato dubbi da parte dei difensori della privacy dei navigatori, infatti un cookie potrebbe aiutarci nella navigazione oppure spiarci. In questo secondo caso rientrano molte catene di pubblicitari (che vendono pubblicità a molti siti differenti) i quali usano un cookie accluso all’immagine pubblicitaria per correlare le visite di uno stesso utente a più siti diversi, costruendo quindi una specie di profilo dei siti più graditi. Altri usi considerati convenienti perché utilizzano il cookie come servizio per l’utente sono per esempio la registrazione dei dati di una sessione per evitare la necessità di una nuova autenticazione in una visita successiva (come fa anche Wikipedia per i suoi utenti registrati), o per mantenere il contenuto del “carrello della spesa” nei siti di commercio elettronico.

Anche il motore di ricerca più famoso del mondo, Google, spedisce un cookie che immagazzina dati riguardanti le ricerche, le parole chiave delle ricerche e le abitudini dell’utente.

Più In Dettaglio I Diversi Utilizzi Dei Cookie Sono Dunque:

-» Per riempire il carrello della spesa virtuale in siti commerciali (i cookie ci permettono di mettere o togliere gli articoli dal carrello in qualsiasi momento).
-» Per permettere ad un utente il login in un sito web.
-» Per personalizzare la pagina web sulla base delle preferenze dell’utente (per esempio il motore di ricerca Google permette all’utente di decidere quanti risultati della ricerca voglia visualizzare per pagina).
-» Per tracciare i percorsi dell’utente (tipicamente usato dalle compagnie pubblicitarie per ottenere informazioni sul navigatore, i suoi gusti le sue preferenze. Questi dati vengono usati per tracciare un profilo del visitatore in modo da presentare solo i banner pubblicitari che gli potrebbero interessare).
-» Per la gestione di un sito: i cookie servono a chi si occupa dell’aggiornamento di un sito per capire in che modo avviene la visita degli utenti, quale percorso compiono all’interno del sito. Se il percorso porta a dei vicoli ciechi il gestore se ne può accorgere e può migliorare la navigazione del sito.

Molti dei moderni browser permettono all’utente di decidere quando accettare cookie, ma respingere alcuni cookie non permette l’utilizzo di alcuni siti (prendiamo come esempio l’iscrizione ad un sito web come Wikipedia).

Le impostazioni possono essere personalizzate per abilitarli o bloccarli sempre, entro un determinato periodo di permanenza, per filtrare i siti in base a whitelist e blacklist, e per filtrare cookie che sono utilizzati dallo stesso server o anche da link (spesso pubblicitari) a siti ospitati su server differenti.

È da notare che il funzionamento dei cookie è totalmente dipendente dal browser di navigazione che l’utente usa: in teoria, tale programma può dare all’utente il controllo completo dei cookie e permettere o rifiutare la loro creazione e diffusione. In pratica, il programma di navigazione attualmente più diffuso, ovvero Microsoft Internet Explorer, ha solo una gestione rudimentale dei cookie, mentre alternative meno diffuse (come Opera o Mozilla) danno un maggiore controllo all’utente e permettono di accettare/rifiutare cookie da siti specifici. Anche altri programmi, da usare come proxy, permettono all’utente un grado maggiore di controllo su cosa succede.

Un Tor o un proxy server hanno l’effetto finale, non di cancellare l’indirizzo IP, ma di farne apparire uno differente da quello del proprio computer. Nel caso di rilevazione dell’indirizzo IP, con questi accorgimenti, non si incontra alcuna limitazione nel numero di siti navigabili.

Legislazione Italiana

In Italia la norma di riferimento relativamente ai cookie è l’art. 122 del D.lgs. 196/2003 che nella sua formulazione a fine Maggio 2012 recepisce la direttiva comunitaria 2009/136/CE E-Privacy (che verrà ulteriormente modificata da un regolamento, e quindi non necessita di recepimento) preparato dalla Commissione europea.

Secondo tale articolo sarebbe necessario che l’utente, salvo casi particolari, sia informato e presti esplicitamente il consenso, prima che i cookie vengano salvati. Tale indicazione, pur se tesa a dare maggiori garanzie agli utenti, ha creato allerta negli operatori per il rischio che possa compromettere le modalità di navigazione come le conosciamo oggi.

Il 2 giugno 2015 diventerà obbligatorio per i gestori di siti web adeguarsi al Provvedimento “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (Gazzetta Ufficiale n. 126 del 3 Giugno 2014) dell’8 Maggio 2014, con cui il Garante per la Protezione dei Dati Personali detta le regole sulle modalità di adempimento agli obblighi di rilascio dell’informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookie. Per tutti i siti web che utilizzano Cookie non tecnici (di profilazione) il Provvedimento stabilisce che nel momento in cui si accede ad una qualsiasi pagina del sito web deve immediatamente comparire in primo piano un banner (informativa breve) di idonee dimensioni, con caratteristiche tali da determinare una discontinuità dell’esperienza di navigazione, indicante:

a) L’utilizzo di Cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) se il sito consente l’invio di Cookie “terze parti”;

c) il link all’informativa estesa;

d) la possibilità di negare il consenso all’installazione di qualunque cookie;

e) che la prosecuzione della navigazione comporta la prestazione del consenso all’uso dei cookie.

Al banner di informativa breve deve essere poi collegato un Cookie tecnico che permetta di tenere traccia del consenso dell’utente per le successive navigazioni sul medesimo sito internet.

Attraverso il banner di informativa, e attraverso i riferimenti in calce ad ogni pagina del sito, l’utente deve quindi poter accedere all’informativa estesa che deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche le finalità dei Cookie installati dal sito, consentire all’utente di selezionare o deselezionare i singoli cookie, contenere i link aggiornati alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di Cookie tramite il proprio sito. Qualora l’editore abbia contatti indiretti con le terze parti, dovrà inserire i link dei siti che fanno da intermediari tra lui e le stesse terze parti.

L’informativa deve infine richiamare la possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei Cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni.

In caso di omessa o inidonea informativa, oltre che nelle previsioni di cui all’art. 13 del Codice, nel provvedimento è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).

L’installazione di Cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

Manipolazioni Sui Cookie

Una procedura di manipolazione sui cookie è la cookie poisoning. Consiste nel modificare i contenuti di un cookie (per esempio le informazioni personali salvate nel computer dell’utente) al fine di eludere i meccanismi di sicurezza. Attraverso questa tecnica, chi attacca può ottenere informazioni private e non autorizzate da un utente, nonché rubare la sua identità digitale. I cookie immagazzinati nel computer dell’utente contengono le informazioni che permettono alle applicazioni di autenticare lo userID, monitorare i comportamenti dell’utente, e personalizzare i contenuti di un sito. In genere, questi dati sono sottoposti a cifratura, ma non sempre gli algoritmi sono sicuri per cui qualche utente con intenzioni malevole potrebbe carpire i nostri dati e utilizzarli o modificarli. Secondo l’organizzazione The Open Web Application Security Project, comunemente detta OWASP, la manipolazione dei cookie è uno dei 20 attacchi più utilizzati dagli hacker, soprattutto nei sistemi di e-commerce, e serve per identificare l’utente.

Eliminazione

Una volta che si è impostato il browser perché accetti i cookie, essi sono archiviati in una speciale cartella del sistema, solitamente nel percorso dell’utente. Si possono facilmente cancellare sia agendo sui comandi previsti dal browser (i medesimi che permettono di cancellare la cronologia, la cache, le password, le compilazioni dei moduli, etc.) oppure utilizzando uno dei tanti “pulitori” di terze parti, quali ad esempio CCleaner.

Una volta eseguita l’eliminazione dei cookie, è normale che il browser e i vari siti web si ripresentino con delle richieste di personalizzazione: questo è dovuto, appunto, alla pulizia eseguita.