![\"\"](\"https:\/\/labzise.noblogs.org\/files\/2021\/04\/floc-animation-1200.gif\")
<\/a><\/p>\nGoogle\u2019s FLoC Is a Terrible Idea<\/a><\/p>\n Il cookie di terze parti sta morendo e Google sta cercando di crearne un sostituto.<\/p>\n Nessuno dovrebbe piangere la morte del cookie come lo conosciamo. Per pi\u00f9 di due decenni, il cookie di terze parti \u00e8 stato il fulcro di un sistema oscuro, squallido e multimiliardario di sorveglianza pubblicitaria sul Web; l’eliminazione graduale dei cookie di tracciamento e di altri identificatori persistenti di terze parti \u00e8 attesa da tempo. Tuttavia, mentre i fondamenti dell’industria pubblicitaria stanno cambiando, i suoi maggiori attori sono determinati a restare in piedi.<\/p>\n Google sta guidando la carica per sostituire i cookie di terze parti con un nuovo gruppo di tecnologie \u00abpensate\u00bb per indirizzare gli annunci sul Web. E alcune delle sue proposte mostrano che non ha imparato le giuste lezioni dal contraccolpo in atto sul modello del business della sorveglianza. Questo post si concentrer\u00e0 su una di queste proposte, Federated Learning of Cohorts (FLoC), che \u00e8 forse la pi\u00f9 ambiziosa e potenzialmente la pi\u00f9 dannosa.<\/p>\n FLoC vuole essere un nuovo metodo per che il tuo browser esegua la profilazione che i tracker di terze parti erano soliti fare da soli: in questo caso, riducendo la tua attivit\u00e0 di navigazione recente ad una etichetta comportamentale per poi condividerla con siti web e inserzionisti. La tecnologia eviter\u00e0 i rischi per la privacy dei cookie di terze parti, ma ne creer\u00e0 di nuovi nel processo. Pu\u00f2 anche esacerbare molti dei peggiori problemi non legati privacy degli annunci comportamentali, tra cui la discriminazione e il targeting predatorio.<\/p>\n L’assist di Google per i sostenitori della privacy \u00e8 che un mondo con FLoC (e altri elementi della “sandbox della privacy”) sar\u00e0 migliore del mondo che abbiamo oggi, dove i data broker e i giganti della tecnologia pubblicitaria tracciano e profilano impunemente. Ma quella cornice si basa sulla falsa premessa che si debba scegliere tra “vecchio tracciamento” e “nuovo tracciamento”. Non \u00e8 o l’uno o l’altro. Invece di reinventare la ruota del tracciamento, dovremmo immaginare un mondo migliore senza la miriade di problemi degli annunci mirati.<\/p>\n Siamo a un bivio. Dietro di noi c’\u00e8 l’era dei cookie di terze parti, forse il pi\u00f9 grande errore del Web. Davanti a noi ci sono due possibili \u00abscenari di\u00bb futuro.<\/p>\n In uno, gli utenti possono decidere quali informazioni condividere con ogni sito con cui scelgono di interagire. Nessuno deve preoccuparsi che la propria navigazione passata venga utilizzata contro di lui o sfruttata per manipolarlo quando aprir\u00e0 una nuova scheda.<\/p>\n Nell’altro, il comportamento di ogni utente lo segue di sito in sito come una etichetta, invisibile all’apparenza ma ricca di significato per chi sa \u00abdove guardare\u00bb. La loro cronologia recente, distillata in pochi bit, \u00e8 \u201cdemocratizzata\u201d e condivisa con decine di attori anonimi che concorrono al contenuto di ogni pagina web. Gli utenti iniziano ogni interazione con una confessione: ecco cosa ho combinato questa settimana, per favore trattami di conseguenza.<\/p>\n Utenti e sostenitori devono rifiutare FLoC e altri tentativi fuorvianti di reinventare il targeting comportamentale. Imploriamo Google di abbandonare FLoC e reindirizzare i suoi sforzi verso la creazione di un Web veramente a misura di utente.<\/p>\n Cos’\u00e8 FLoC?<\/p>\n Nel 2019, Google ha presentato Privacy Sandbox , la sua visione per il futuro della privacy sul Web. Al centro del progetto c’\u00e8 una gamma di protocolli senza cookie progettati per soddisfare la miriade di applicazioni concrete che i cookie di terze parti attualmente forniscono agli inserzionisti. Google ha portato le sue proposte al W3C, l’ente di definizione degli standard per il Web, dove sono state discusse principalmente all’interno del Web Advertising Business Group, un organismo composto principalmente da fornitori di tecnologia pubblicitaria. Nei mesi successivi, Google e altri inserzionisti hanno proposto decine di norme tecniche con nomi a tema “uccelli”: PIGIN, TURTLEDOVE, SPARROW, SWAN, SPURFOWL, PELICAN, PARROT… l’elenco potrebbe continuare. Sul serio. Ciascuna delle proposte “uccello” \u00e8 progettata per svolgere nell’ecosistema della pubblicit\u00e0 mirata una delle funzioni che \u00e8 attualmente svolta dai cookie.<\/p>\n FLoC \u00e8 progettato per aiutare gli inserzionisti a eseguire il targeting comportamentale senza cookie di terze parti. Un browser con FLoC abilitato raccoglie informazioni sulle abitudini di navigazione dell’utente, quindi le utilizza per assegnare l’utente a una “coorte” o gruppo. Gli utenti con abitudini di navigazione simili, per una qualsiasi definizione di “simile”, verrebbero raggruppati nella stessa coorte. Il browser di ogni utente condivider\u00e0 un ID \u00abidentificatore\u00bb di coorte, indicante a quale gruppo appartiene, con siti web e inserzionisti. Secondo la proposta, almeno qualche migliaio di utenti dovrebbero appartenere a ciascuna coorte (anche se non \u00e8 una garanzia).<\/p>\n Se sembra oscuro, pensaci in questo modo: il tuo identificatore FLoC sar\u00e0 come un breve riassunto della tua attivit\u00e0 recente sul Web.<\/p>\n Una dimostrazione di esempio di Google ha impiegato i domini dei siti visitati da ciascun utente come base per raggruppare le persone. Ha quindi utilizzato un algoritmo chiamato SimHash per creare i gruppi. SimHash pu\u00f2 essere calcolato localmente sulla macchina di ogni utente, quindi non \u00e8 necessario un server centrale per raccogliere dati comportamentali. Tuttavia, un amministratore centrale potrebbe avere un ruolo nell’applicazione di garanzie sulla privacy. Per evitare che qualsiasi coorte sia troppo piccola (cio\u00e8 troppo identificativa), Google propone che un soggetto centrale possa contare il numero di utenti assegnati a ciascuna coorte. Se alcune risultassero troppo piccole, potrebbero essere combinate con altre coorti simili fino a raggiungere un numero sufficiente di utenti in ciascuna di esse.<\/p>\n Stando alla proposta, la maggior parte delle specifiche sono ancora da definire. La bozza delle specifiche afferma che l’identificatore di coorte di un utente sar\u00e0 disponibile tramite Javascript, ma non \u00e8 chiaro se ci saranno restrizioni su chi pu\u00f2 accedervi o se l’ID sar\u00e0 condiviso in altri modi. FLoC potrebbe eseguire il raggruppamento in base agli URL o al contenuto della pagina invece che ai domini; potrebbe anche utilizzare un sistema basato sull’apprendimento federato (come suggerisce il nome FLoC) per generare i gruppi in alternativa a SimHash. Inoltre, non \u00e8 chiaro esattamente quante possibili coorti ci saranno. L’esperimento di Google ha utilizzato identificatori di coorte a 8 bit, il che significa che c’erano solo 256 coorti possibili. In pratica quel numero potrebbe essere molto pi\u00f9 alto; la documentazione suggerisce un identificatore di coorte a 16 bit composto da 4 caratteri esadecimali. Pi\u00f9 coorti sono previste, pi\u00f9 specifiche risulteranno; identificatori di coorte pi\u00f9 lunghi significa che gli inserzionisti impareranno di pi\u00f9 sugli interessi di ogni utente e saranno facilitati nel fingerprinting.<\/p>\n Un elemento che \u00e8 specificato \u00e8 la durata. Le coorti FLoC verranno ricalcolate su base settimanale, ogni volta utilizzando i dati della navigazione della settimana precedente. Ci\u00f2 rende le coorti FLoC meno utili come identificatori a lungo termine, ma li rende anche misurazioni pi\u00f9 efficaci di come gli utenti si comportano nel tempo.<\/p>\n Nuovi problemi di privacy<\/p>\n FLoC fa parte di un insieme inteso a portare gli annunci mirati in un futuro che preservi la privacy. Ma il suo concetto base prevede la condivisione di nuove informazioni con gli inserzionisti. Non sorprende che questo crei anche nuovi rischi per la privacy.<\/p>\n Fingerprinting<\/p>\n Il primo problema \u00e8 il fingerprinting. Il fingerprinting del browser \u00e8 la pratica di raccogliere molte informazioni discrete dal browser di un utente per creare un identificatore univoco e stabile per quel browser. Il progetto Cover Your Tracks di EFF dimostra come funziona il processo: in breve, pi\u00f9 il tuo browser appare o si comporta in modo diverso da quello degli altri, pi\u00f9 facile \u00e8 il fingerprinting.<\/p>\n Google ha promesso che la stragrande maggioranza delle coorti FLoC comprender\u00e0 migliaia di utenti ciascuna, quindi un identificatore di coorte da solo non dovrebbe distinguerti da alcune migliaia di altre persone come te. Tuttavia, ci\u00f2 offre ancora al fingerprinting un enorme vantaggio. Se un tracker inizia dalla tua coorte FLoC, deve solo distinguere il tuo browser da poche migliaia di altri (piuttosto che da alcune centinaia di milioni). In termini di teoria dell’informazione, le coorti FLoC conterranno diversi bit di entropia, fino a 8 bit, nella prova dimostrativa di Google. Questa informazione \u00e8 ancora pi\u00f9 potente dato che \u00e8 improbabile che sia correlata con altre informazioni che il browser espone. Ci\u00f2 render\u00e0 molto pi\u00f9 facile per i tracker mettere insieme un fingerprinting unico per gli utenti FLoC.<\/p>\n Google ha riconosciuto questa come una sfida, ma si \u00e8 impegnata a risolverla come parte del pi\u00f9 ampio piano “Privacy Budget” che porta avanti per affrontare il fingerprinting nel lungo termine. Risolvere il fingerprinting \u00e8 un obiettivo ammirevole e la sua proposta \u00e8 una strada promettente da perseguire. Ma secondo le FAQ, quel piano \u00e8 “una proposta in una fase iniziale e non ha ancora un’implementazione del browser”. Nel frattempo, Google inizier\u00e0 a testare FLoC gi\u00e0 questo mese .<\/p>\n Il fingerprinting \u00e8 notoriamente difficile da fermare. Browser come Safari e Tor si sono impegnati in lunghe battaglie contro i tracker, sacrificando ampie parti dei propri set di funzionalit\u00e0 al fine di ridurre le superfici di attacco al fingerprinting. La mitigazione del fingerprinting generalmente implica l’eliminazione o la limitazione di elementi di entropia non necessarii, che \u00e8 ci\u00f2 che \u00abinvece\u00bb \u00e8 FLoC. Google non dovrebbe creare nuovi rischi relativi al fingerprinting fino a quando non avr\u00e0 capito come affrontare quelli esistenti.<\/p>\n Esposizione cross-context<\/p>\n Il secondo problema \u00e8 meno semplice dal spiegare: la tecnologia condivider\u00e0 nuovi dati personali con i tracker che possono gi\u00e0 identificare gli utenti. Affinch\u00e9 FLoC sia utile agli inserzionisti, la coorte di un utente riveler\u00e0 necessariamente informazioni sul proprio comportamento.<\/p>\n La pagina Github del progetto affronta questo problema in anticipo:<\/p>\n Come descritto sopra, le coorti FLoC non dovrebbero da sole funzionare come identificatori. Tuttavia, qualsiasi azienda in grado di identificare un utente in altri modi, ad esempio offrendo servizi tramite “Accedi con Google” ai siti su Internet, sar\u00e0 in grado di collegare le informazioni apprese da FLoC al profilo dell’utente.<\/p>\n Due categorie di informazioni possono essere esposte in questo modo:<\/p>\n 1.Informazioni specifiche sulla cronologia di navigazione. I tracker possono essere in grado di decodificare l’algoritmo di assegnazione ad una coorte per determinare che qualsiasi utente che appartiene a quella coorte specifica probabilmente o sicuramente ha visitato siti specifici. Questo significa che ogni sito che visiti avr\u00e0 una buona idea di che tipo di persona sei gi\u00e0 al primo contatto, senza dover fare il lavoro di tracciarti attraverso il web. Inoltre, poich\u00e9 la tua coorte FLoC si aggiorner\u00e0 nel tempo, i siti che possono identificarti in altri modi saranno anche in grado di monitorare come cambia la tua navigazione. Ricorda, una coorte FLoC non \u00e8 niente di pi\u00f9 e niente di meno che un riassunto della tua recente attivit\u00e0 di navigazione.<\/p>\n Dovresti avere il diritto di presentare diversi aspetti della tua identit\u00e0 in diversi contesti. Se visiti un sito per informazioni mediche, potresti affidargli informazioni sulla tua salute, ma non c’\u00e8 motivo per cui debba conoscere qual \u00e8 la tua collocazione politica. Allo stesso modo, se visiti un negozio online, \u00abquesto\u00bb non dovrebbe aver bisogno di sapere se recentemente hai letto di trattamenti per la depressione. FLoC erode questa separazione di contesti e presenta invece lo stesso riassunto comportamentale a tutti coloro con cui interagisci.<\/p>\n Oltre la privacy<\/p>\n FLoC \u00e8 progettato per prevenire una minaccia molto specifica: il tipo di profilazione individuale che attualmente \u00e8 consentita dagli identificatori cross-context. L’obiettivo di FLoC e di altre proposte \u00e8 evitare che i tracker possano accedere a informazioni specifiche riconducibili a persone specifiche. Come abbiamo mostrato, FLoC pu\u00f2 effettivamente aiutare i tracker in molti contesti. Ma anche se Google \u00e8 in grado di rafforzare il suo progetto e prevenire questi rischi, i danni della pubblicit\u00e0 mirata non si limitano alle violazioni della privacy. L’obiettivo principale di FLoC \u00e8 in contrasto con altre libert\u00e0 civili.<\/p>\n Il potere di puntare \u00e8 il potere di discriminare. Per definizione, gli annunci mirati consentono agli inserzionisti di raggiungere alcuni tipi di persone escludendone altri. Un sistema di targeting pu\u00f2 essere utilizzato per decidere chi pu\u00f2 vedere annunci di lavoro o offerte di prestito con la stessa facilit\u00e0 con cui pubblicizza scarpe.<\/p>\n Negli anni, il meccanismo della pubblicit\u00e0 mirata \u00e8 stato spesso utilizzato per lo sfruttamento, la discriminazione e il nocumento. La possibilit\u00e0 di indirizzare gli annunci alle persone in base all’etnia, alla religione, al sesso, all’et\u00e0 o alle capacit\u00e0 consente annunci discriminatori per lavoro, alloggio e credito. Il targeting basato sulla storia del credito, o sulle caratteristiche sistematicamente associate ad esso, consente annunci predatori per prestiti ad alto interesse. Il targeting basato su dati demografici, posizione e affiliazione politica aiuta chi diffonde disinformazione politica e la disaffezione degli elettori. Tutti i tipi di targeting comportamentale aumentano il rischio di truffe credibili.<\/p>\n Google, Facebook e molte altre piattaforme pubblicitarie cercano gi\u00e0 di frenare determinati usi delle proprie piattaforme di targeting. Google, ad esempio, limita la capacit\u00e0 degli inserzionisti di indirizzare gli annunci a persone in “categorie di interessi sensibili”. Tuttavia, questi sforzi spesso falliscono; attori determinati possono solitamente trovare soluzioni alternative alle restrizioni a livello di piattaforma su determinati tipi di targeting o determinati tipi di annunci.<\/p>\n Anche con un potere assoluto su quali informazioni possono essere utilizzate per indirizzare chi, le piattaforme sono troppo spesso incapaci di impedire l’abuso della loro tecnologia. Ma FLoC utilizzer\u00e0 un algoritmo non supervisionato per creare i suoi raggruppamenti. Ci\u00f2 significa che nessuno avr\u00e0 il controllo diretto sul modo in cui le persone sono raggruppate. Idealmente (per gli inserzionisti), FLoC creer\u00e0 gruppi che hanno comportamenti e interessi significativi in comune. Ma il comportamento online \u00e8 collegato a tutte le caratteristiche sensibili: dati demografici come sesso, etnia, et\u00e0 e reddito; Tratti della personalit\u00e0 “big 5”; anche la salute mentale . \u00c8 molto probabile che FLoC raggrupper\u00e0 anche gli utenti lungo alcuni di questi assi. I raggruppamenti di FLoC possono anche riflettere direttamente le visite a siti Web relativi ad abuso di sostanze, difficolt\u00e0 finanziarie o supporto per i sopravvissuti a traumi.<\/p>\n Google ha proposto di poter monitorare gli output del sistema per verificare eventuali correlazioni con le sue categorie sensibili. Se rileva che una particolare coorte \u00e8 troppo strettamente correlata a un particolare gruppo protetto, il server amministrativo pu\u00f2 scegliere nuovi parametri per l’algoritmo e dire ai browser degli utenti di raggrupparsi di nuovo.<\/p>\n Questa soluzione suona sia orwelliana che sisifea. Per monitorare il modo in cui i gruppi di FLoC sono correlati alle categorie sensibili, Google dovr\u00e0 eseguire controlli massicci utilizzando dati su razza, sesso, religione, et\u00e0, salute e situazione finanziaria degli utenti. Ogni volta che trova una coorte che si correla troppo fortemente lungo uno qualsiasi di questi assi, dovr\u00e0 riconfigurare l’intero algoritmo e riprovare, sperando che nella nuova iterazione non siano implicate altre “categorie sensibili”. Questa \u00e8 una variante molto pi\u00f9 complessa del problema che sta gi\u00e0 tentando, spesso senza riuscirci, di risolvere.<\/p>\n In un mondo con FLoC, potrebbe essere pi\u00f9 difficile indirizzare gli utenti direttamente in base all’et\u00e0, al sesso o al reddito. Ma non sar\u00e0 impossibile. I tracker con accesso a informazioni ausiliarie sugli utenti saranno in grado di apprendere cosa “significano” i raggruppamenti FLoC e che tipo di persone contengono, attraverso l’osservazione e la sperimentazione. Coloro che sono determinati a farlo saranno comunque in grado di discriminare. Inoltre, questo tipo di comportamento sar\u00e0 pi\u00f9 difficile da controllare per le piattaforme di quanto non lo sia gi\u00e0. Gli inserzionisti con cattive intenzioni avranno una negazione plausibile: dopo tutto, non prendono direttamente di mira le categorie protette, ma raggiungono le persone in base al comportamento. E l’intero sistema sar\u00e0 pi\u00f9 opaco per utenti e regolatori.<\/p>\n Google, per favore non farlo<\/p>\n Abbiamo scritto di FLoC e dell’altro gruppo iniziale di proposte quando sono state introdotte per la prima volta, definendo FLoC “l’opposto della tecnologia per la tutela della privacy”. Speravamo che il processo di standardizzazione avrebbe fatto luce sui difetti fondamentali di FLoC, inducendo Google a riconsiderare la possibilit\u00e0 di portarlo avanti. In effetti, diversi problemi sulla pagina ufficiale Github sollevano le stesse esatte preoccupazioni che abbiamo evidenziato qui. Tuttavia, Google ha continuato a sviluppare il sistema, lasciandone i fondamentali quasi invariati. Ha iniziato a proporre FLoC agli inserzionisti, vantandosi che FLoC \u00e8 un sostituto “efficace al 95%” del targeting basato sui cookie. E a partire da Chrome 89, rilasciato il 2 marzo, sta distribuendo la tecnologia per una prima prova . Una piccola parte degli utenti di Chrome, probabilmente milioni di persone, sar\u00e0 (o \u00e8 stata) assegnata a testare la nuova tecnologia.<\/p>\n Non fate errori, se Google porter\u00e0 a termine il suo piano per introdurre FLoC in Chrome, probabilmente dar\u00e0 ai soggetti coinvolti delle “opzioni”. Il sistema sar\u00e0 probabilmente opt-in per gli inserzionisti che ne beneficeranno e opt-out per gli utenti che rischiano di essere danneggiati. Google lo pubblicizzer\u00e0 sicuramente come un passo avanti per la “trasparenza e il controllo all’utente”, sapendo benissimo che la stragrande maggioranza dei suoi utenti non capir\u00e0 come funziona FLoC e che pochissimi faranno di tutto per disattivarlo. Si dar\u00e0 una pacca sulla spalla per aver inaugurato una nuova era privata sul Web, libera dal malvagio cookie di terze parti, la \u00abstessa\u00bb tecnologia che Google ha contribuito ad estendere ben oltre la sua durata di conservazione, guadagnando miliardi di dollari nel processo .<\/p>\n Non deve essere cos\u00ec. Le parti pi\u00f9 importanti della sandbox per la privacy, come l’eliminazione di identificatori di terze parti e la lotta fingerprinting, cambieranno davvero il Web in meglio. Google pu\u00f2 scegliere di smantellare la vecchia impalcatura per la sorveglianza senza sostituirla con qualcosa di nuovo e unicamente dannoso.<\/p>\n Rifiutiamo decisamente il futuro di FLoC. Questo non \u00e8 il mondo che vogliamo, n\u00e9 quello che gli utenti meritano. Google ha bisogno di imparare le giuste lezioni dall’era del monitoraggio di terze parti e progettare il suo browser in modo che lavori per gli utenti, non per gli inserzionisti.<\/p>\n
\n<\/code><\/div>\n
\n2. Informazioni generali su dati demografici o interessi. Gli osservatori possono apprendere che, in generale, \u00e8 molto probabile che membri di una specifica coorte appartengano ad uno specifico tipo di persona. Ad esempio, una particolare coorte pu\u00f2 sovrarappresentare gli utenti giovani, le donne e i neri; un’altra coorte, gli elettori repubblicani di mezza et\u00e0; una terza, i giovani LGBTQ+.<\/p>\n