Dark pattern, in inglese, significa percorso oscuro, o anche modello oscuro, schema oscuro ed è un’espressione che abbiamo sentito spesso correlata al loro utilizzo sui siti web.
Ma che cosa sono, esattamente, i dark pattern, e che cosa hanno di così oscuro?
Un dark pattern potrebbe definirsi come una scelta di design dell’interfaccia di un sito web progettata in maniera volutamente e consapevolmente ingannevole, con lo scopo di spingere l’utente di quel sito a compiere un’azione che altrimenti non avrebbe compiuto, o viceversa a non compiere azioni che vorrebbe intraprendere, ma che sono sfavorevoli (commercialmente ed economicamente parlando) per il titolare di quello stesso sito.
Ancora, si definisce dark pattern una interfaccia che nasconda all’utente alcune informazioni, ad esempio relativamente ai dati personali, al fine di carpirne in maniera subdola ed occulta il consenso per il trattamento (e di conseguenza utilizzare i dati nel proprio modello di business, in spregio alle norme poste a protezione dei dati e in barba a chi dice che i dati non siano il nuovo petrolio.
Si tratta, come si intuisce, di trucchi di manipolazione psicologica, che sfruttano le debolezze ed i comportamenti umani, e che si fondano su studi di scienza comportamentale e cognitiva.
Indice
1. Esempi di dark pattern
A tutti sarà capitato di incappare in offerte super scontate, per un periodo limitato oppure per un numero limitato di utenti, allo scopo di “mettere fretta” al consumatore per spingerlo a comprare un prodotto o un servizio, senza la dovuta ponderazione, per poi scoprire che il periodo limitato di tempo dura, sostanzialmente, per sempre.
Un altro esempio tipico di dark pattern, ossia di interfaccia progettata in maniera tale da rendere la vita difficile agli utenti, è quello di facilitare l’iscrizione alla newsletter o ad un determinato servizio, magari anche evidenziando che è possibile disiscriversi in qualsiasi momento, ma poi di fatto rendendo l’iter per la cancellazione peggio di un percorso a ostacoli degno del miglior Hunger Games. L’utente ci prova, ma poi, preso dalle incombenze quotidiane e scoraggiato dal tempo e dalla difficoltà, desiste e resta iscritto.
O ancora, un utente che compila un modulo online per accedere a un servizio o per scaricare un contenuto, e viene indotto a inserire molte più informazioni personali di quelle che sarebbero necessarie (ad esempio, per una newsletter è sufficiente l’e-mail e, se proprio si vuole esagerare, il nome) nell’errata (indotta) convinzione che sia in realtà obbligatorio farlo, oppure che sia obbligatorio fornire un consenso (dunque illegittimo, perché mancante dei requisiti richiesti dalla normativa) quando invece non sarebbe affatto necessario. Ad esempio, è un dark pattern un modulo che, dopo aver richiesto user ID e password, apra una scheda con una richiesta di informazioni ulteriori: l’utente compila il modulo, pensando, in attesa di chiare informazioni, che senza quei dati non sia possibile proseguire nella propria iscrizione, mentre non sa che avrebbe potuto proseguire senza fornire alcuna ulteriore dato nella propria iscrizione.
Si configurano come dark pattern anche i bottoni di chiusura del banner dei cookie per il rifiuto alla loro installazione posti in modo poco visibile (ad esempio scritti in colore chiaro su sfondo bianco) o con un bottone diverso dagli altri, che induce l’utente a pensare che si tratti di un pulsante non cliccabile.
Potrebbero interessarti anche
2. Differenza tra dark pattern e irregolarità del sito web
Si potrebbe obiettare che un dark pattern non sia una irregolarità vera e propria di un sito web: il banner dei cookie ha un bottone per rifiutare la loro installazione, ed è funzionante. Il modulo che richiede i dati ulteriori non ha errori bloccanti, tanto che se l’utente clicca su PROSEGUI senza compilare nulla, riesce ugualmente a iscriversi. L’offerta speciale “solo per oggi” è reale e in effetti il prodotto o il servizio vengono venduti a prezzo scontato.
Diverso è il caso di un banner che non prevede il banner di rifiuto, di un form che chiede obbligatoriamente il consenso e in assenza del flag non consente la prosecuzione o di un’offerta speciale “truffaldina”.
E tuttavia, l’utilizzo dei dark patter come “trucchi” commerciali presenta problematiche giuridiche, perché la tutela degli utenti deve essere reale, effettiva e non solo formale.
Soprattutto in materia di protezione dei dati personali online l’utilizzo dei dark pattern è frequentissimo, perché la vera ricchezza dei business online passa attraverso i dati personali: un data base numeroso ha un grande valore sul mercato (il mercato lecito, e anche quello illecito del dark web, ma limitiamoci in questa sede a parlare dell’utilizzo “consentito” dei dati personali”) e ne ha ancora di più se altamente profilato.
3. Dark Pattern e GDPR
Molti siti internet raccolgono dati in eccedenza rispetto a quelli realmente necessari per le finalità dichiarate apertamente: secondo uno studio del 2019 che ha analizzato un migliaio di piattaforme per la gestione del consenso, almeno il 57,4% fa uso di dark pattern per spingere gli utenti a compiere scelte sfavorevoli in ambito privacy ed addirittura il 95,8% non prevede scelte in merito al consenso al trattamento dei dati (fonte: Cybersecurity360, articolo dell’avv. Andrea Afferni).
Il GDPR (Regolamento per la Protezione dei Dati Personali 679/2016) prevede il rispetto di alcuni principi quando si effettua trattamento di dati personali, specie se a scopo di profilazione e da quanto analizzato finora è chiaro che i dark pattern si pongono totalmente al di fuori di tali principi. Vediamo quali sono.
Il principio di minimizzazione (art. 5): secondo il quale il trattamento deve limitarsi ai soli dati minimi strettamente necessari per le finalità per cui vengono raccolti.
Il principio di trasparenza (art. 5): secondo il quale l’interessato deve conoscere quali trattamenti verranno effettuati sui propri dati e per quali finalità, in maniera semplice e accessibile a tutti.
Il principio di liceità (art. 5): secondo il quale per effettuare lecitamente un trattamento è necessario che il Titolare individui e illustri chiaramente la corretta base giuridica sottesa al trattamento stesso.
Il dovere di informativa (art. 13): documento fondamentale, onere di accountability del Titolare, strumento di base attraverso il quale l’interessato è messo nelle condizioni di sapere quali operazioni di trattamento vengono effettuate sui dati e per quali finalità, in maniera semplice e facilmente intellegibile anche da chi è totalmente digiuno della materia e facilmente accessibile. A questo proposito, il cosiddetto Working Party 29, ossia il Gruppo di lavoro formato dai Garanti dei vari Stati membri dell’Unione durante la stesura del Regolamento, che oggi è confluito nell’European Data Protection Board, ha affermato che mettere le informazioni relative alla privacy in modo difficile da trovare su un sito web, o scritte con colori difficilmente leggibili (come è tipico dei dark pattern) viola i principi del Regolamento sul trattamento dei dati.
Le caratteristiche del consenso (art. 4): il consenso al trattamento, da intendersi come qualsiasi manifestazione di volontà dell’interessato con la quale lo stesso manifesta il proprio assenso al trattamento dei propri dati, deve essere libero, specifico, informato, inequivocabile e revocabile. A proposito di quest’ultimo requisito, rendere la revoca del consenso prestato difficoltosa e macchinosa integra per l’appunto la messa in atto di un dark pattern.
Il principio di privacy by design e privacy by default (art. 25): intesi come l’obbligo in capo al titolare del trattamento di mettere in atto misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrare che i dati degli interessati sono protetti fin dalla progettazione (by design) e come impostazione predefinita (by default).
Per concludere, analizzando i sopra riportati principi, che costituiscono il cuore della legge europea sulla protezione dei dati, emerge che non si tratta di regole solo formali, ma che scendono nel merito e che traghettano la responsabilità del Titolare dalla forma alla sostanza: ecco perché i dark pattern, pur se di per sé, come visto, non costituiscono aperte violazioni del GDPR, non possono essere considerati leciti alla luce della normativa vigente, che mira a garantire il rispetto effettivo e sostanziale dei diritti e delle libertà fondamentali degli interessati.
Peraltro, anche dal punto di vista del marketing e del business, se su una strategia di breve periodo l’utilizzo dei dark pattern può essere vincente, perché ottiene risultati immediati, sul lungo periodo l’inganno costante dei propri utenti e l’utilizzo di strategie poco trasparenti, può portare un danno di immagine di gran lunga superiore al beneficio ottenuto, facendo perdere di fiducia e credibilità all’azienda che ha bisogno di ricorrere a “mezzucci” per vendere i propri prodotti o servizi.
A una sanzione del Garante per la Protezione dei Dati personali per trattamento illecito dei dati, quindi, potrebbe aggiungersi il danno economico di immagine, con conseguenze sul fatturato che gli operatori economici del web farebbero bene a preventivare prima di lanciarsi in pratiche commerciali non solo “oscure”, ma anche di dubbia reale utilità.
Volume consigliato
Come applicare il GDPR e il codice privacy
Grazie al D.Lgs. n. 101/2018 è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation. Con il decreto di adeguamento – entrato in vigore dal 19 settembre 2018 – il quadro può pertanto ritenersi completo e tutti gli enti, i professionisti e le società dovranno operare nel rispetto del GDPR e della disciplina contenuta nel Codice privacy, così come appena modificato. Ma quali incombenze e adempimenti ne deriveranno, in concreto? L’obiettivo di questo breve manuale è appunto quello di analizzare la nuova legislazione, indicando, anche attraverso esempi pratici e schede di sintesi, i profili di maggior rilievo che professionisti e imprese devono considerare per adeguarsi alla normativa ed evitare di incorrere in gravose sanzioni.Roberta Rapicavoli Avvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti. Si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.
Roberta Rapicavoli | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento