Browser Fingerprinting e Consenso: Guida per Publisher a una Tecnica di Tracciamento sotto la Lente dei Regolatori
Per la maggior parte della discussione sull'era dei cookie riguardo al tracciamento online, la superficie tecnica rilevante era il livello di archiviazione: cookie nel browser, voci di localStorage, database IndexedDB, le cose che uno sviluppatore poteva vedere e un regolatore poteva indicare. Il fingerprinting funziona diversamente. Non chiede al browser di memorizzare nulla. Invece, pone domande al browser — quali font hai installato, come appare questo rendering canvas, come il contesto audio elabora questo segnale — e combina le risposte in un identificatore che persiste tra sessioni, dispositivi e persino finestre di navigazione privata. Per gli editori e i fornitori di ad-tech, il fingerprinting è stato un modo attraente per aggirare la deprecazione dei cookie di terze parti. Per i regolatori, è diventato una delle tecniche di tracciamento perseguite più aggressivamente perché, per progettazione, identifica gli utenti senza la loro cooperazione. La CNIL, l'EDPB, l'ICO del Regno Unito e il Garante italiano hanno tutti emesso decisioni di applicazione o linee guida specificamente mirate al fingerprinting negli ultimi 24 mesi. Questa guida illustra cos'è effettivamente il fingerprinting, cosa conta come fingerprinting secondo la legge e come un editore dovrebbe gestirlo all'interno di un framework di gestione del consenso.
Cos'è il Browser Fingerprinting
Un'impronta digitale del browser è un identificatore ad alta entropia costruito dalle proprietà che il browser espone a qualsiasi JavaScript in esecuzione. Le tecniche di base si dividono in diverse famiglie, ognuna delle quali contribuisce entropia all'impronta combinata.
Canvas fingerprinting
L'elemento canvas HTML5 renderizza la grafica in modi leggermente diversi a seconda della GPU sottostante, del driver, del sistema operativo e del sottosistema dei font. Disegnare una stringa fissa con un font specifico, quindi eseguire l'hash dei dati pixel risultanti, produce un identificatore che varia tra i dispositivi ma è stabile tra le sessioni sullo stesso dispositivo. Il canvas fingerprinting è l'esempio canonico e la tecnica più citata nelle azioni di applicazione.
Audio fingerprinting
L'API AudioContext elabora i segnali audio attraverso lo stesso tipo di pipeline hardware-e-software della grafica, e l'output risultante varia in un modo che crea entropia. Eseguire un oscillatore noto attraverso un compressore e calcolare l'hash del risultato produce un identificatore stabile per dispositivo.
Enumerazione dei font
Diversi sistemi operativi e profili utente hanno diversi set di font installati. Verificare la presenza o l'assenza di font — misurando le metriche del testo per un elenco di font candidati — produce un identificatore particolarmente distintivo per gli utenti che hanno personalizzato il proprio set di font.
WebGL fingerprinting
WebGL espone le capacità della GPU e il comportamento di rendering. La combinazione di stringa del produttore, stringa del renderer e rendering di una scena fissa produce un altro identificatore ad alta entropia.
Metadati di rete e dispositivo
Oltre alle tecniche di probing attivo, le impronte digitali incorporano tipicamente metadati passivi: stringa User-Agent, preferenze linguistiche, fuso orario, risoluzione dello schermo, profondità del colore, memoria disponibile, processori disponibili, stato della batteria e impronta TLS a livello di connessione. Ogni elemento aggiunge entropia da solo e si combina in modo moltiplicativo con gli altri.
Come i Regolatori Trattano il Fingerprinting
L'analisi giuridica è semplice nei contorni ma più difficile nella pratica. Il fingerprinting che identifica un utente produce dati personali secondo la definizione del GDPR, e la lettura o l'accesso a informazioni già memorizzate su un dispositivo rientra nell'Article 5(3) della direttiva ePrivacy — la stessa disposizione che regola i cookie. Sia l'Article 5(3) che il GDPR richiedono il consenso preventivo per il tracciamento non essenziale. Dove la legge va oltre i cookie è che l'ePrivacy 5(3) copre "la memorizzazione di informazioni, o l'accesso a informazioni già memorizzate, nell'apparecchiatura terminale di un abbonato o utente" — un linguaggio sufficientemente ampio da coprire il probing dello stato del dispositivo da cui il fingerprinting dipende.
L'EDPB ha confermato questa lettura nelle sue linee guida del 2023 sull'applicazione dell'Article 5(3) al tracciamento non-cookie, e la CNIL è stata l'esecutore più aggressivo: un certo numero di sanzioni nel 2024 ha citato librerie di fingerprinting operative prima del consenso come violazione primaria. La dichiarazione dell'ICO del Regno Unito del 2024 sul tracciamento è ancora più diretta nell'inquadrare canvas, audio e impronte simili come richiedenti il consenso opt-in alla pari dei cookie.
La Zona Grigia: Prevenzione delle Frodi vs Tracciamento
Il caso d'uso più contestato del fingerprinting è la prevenzione delle frodi. Il rilevamento dei bot, la difesa contro il furto di account e lo screening delle frodi nei pagamenti si basano tutti sul fingerprinting del dispositivo come segnale fondamentale. I regolatori hanno riconosciuto che parte di questo trattamento può essere giustificato sotto l'interesse legittimo piuttosto che il consenso — ma la soglia è alta e l'ambito è ristretto. La posizione della CNIL, ripresa da altre DPA, è che:
- La prevenzione delle frodi strettamente necessaria su proprietà di prima parte può procedere sotto l'interesse legittimo, con documentazione appropriata in una valutazione dell'interesse legittimo (LIA).
- L'uso comportamentale o pubblicitario della stessa impronta digitale richiede il consenso e non può appoggiarsi sulla base della prevenzione delle frodi.
- La condivisione dell'impronta con terze parti per qualsiasi scopo rientra tipicamente al di fuori dell'ambito dell'interesse legittimo e richiede il consenso.
- La memorizzazione persistente dell'impronta oltre il controllo immediato delle frodi richiede generalmente il consenso o una posizione di interesse legittimo molto rigorosamente redatta.
L'implicazione pratica è che un editore che esegue sia il fingerprinting per la prevenzione delle frodi sia il fingerprinting per l'ad-tech non può fare affidamento sulla base antifrode per coprire entrambi. I due flussi devono essere architetturalmente separati, con il flusso ad-tech subordinato al consenso e il flusso di prevenzione delle frodi limitato al suo scopo documentato.
Come Gestire il Fingerprinting in un CMP
Il pattern di integrazione per il fingerprinting è simile ad altre tecniche di tracciamento ma con attenzione aggiuntiva perché l'assenza di archiviazione evidente rende il confine del consenso più facile da mancare.
1. Inventariare la superficie di fingerprinting
Controllare il sito per qualsiasi script che chiami canvas toDataURL(), elaborazione basata su AudioContext, probing dei font attraverso la misurazione delle metriche del testo, o query del renderer WebGL. Queste chiamate sono spesso nascoste in librerie di terze parti — SDK ad-tech, fornitori antifrode, strumenti di A/B testing — e non immediatamente visibili.
2. Categorizzare ogni uso del fingerprinting
Per ogni libreria che esegue il fingerprinting, documentare se è (a) strettamente necessaria per il funzionamento del sito, (b) una misura di prevenzione delle frodi sotto interesse legittimo, o (c) per tracciamento, analisi o pubblicità. Le categorie (a) e (b) possono procedere senza consenso esplicito sotto basi documentate; la categoria (c) richiede l'opt-in.
3. Subordinare al consenso il fingerprinting a scopo di tracciamento
Per le librerie che rientrano nella categoria (c), il CMP dovrebbe trattarle in modo identico ai cookie di marketing: lo script è nel DOM ma inerte fino a quando il visitatore accetta la categoria marketing. La maggior parte dei CMP moderni supporta già questo tramite il pattern standard type="text/plain" + attributo di categoria.
4. Documentare la base dell'interesse legittimo per il fingerprinting antifrode
Dove il fingerprinting procede sotto interesse legittimo, la LIA deve essere specifica, attuale e riflettere l'effettivo ambito del trattamento. Un generico "prevenzione delle frodi" non è sufficiente — la LIA deve identificare quali dati vengono trattati, per quanto tempo vengono conservati, quali protezioni si applicano e quali sono le aspettative realistiche dell'utente.
5. Fornire un opt-out significativo per i flussi di interesse legittimo
Anche dove il fingerprinting antifrode procede senza consenso, l'Article 21 del GDPR concede all'utente il diritto di opporsi al trattamento basato sull'interesse legittimo. Il CMP deve rendere visibile questo diritto, e l'implementazione tecnica deve effettivamente interrompere il fingerprinting quando il diritto viene esercitato — non limitarsi a registrare l'obiezione continuando a eseguire il fingerprinting.
Checklist di Audit
Sei domande concrete a cui rispondere per qualsiasi sito che potenzialmente esponga superfici di fingerprinting.
1. Completezza dell'inventario
Il team di sicurezza ha prodotto un elenco aggiornato di ogni libreria che esegue probing su canvas, audio, font, WebGL o metadati del dispositivo? Se la risposta è "non siamo sicuri", l'audit non può procedere.
2. Classificazione della base giuridica
Per ogni libreria, esiste una base giuridica documentata (consenso, interesse legittimo con LIA, necessità contrattuale)? Basi non documentate sono di fatto assenti sotto il principio di responsabilizzazione.
3. Subordinazione al consenso
Le librerie di fingerprinting a scopo di tracciamento sono subordinate alla categoria di consenso marketing, con lo script impossibilitato a eseguirsi prima dell'accettazione?
4. Attualità della LIA
Le valutazioni dell'interesse legittimo sono datate negli ultimi 12 mesi e riflettono l'effettivo ambito di trattamento attuale piuttosto che descrizioni legacy?
5. Applicazione dell'opt-out
Quando un utente esercita l'Article 21, il sistema interrompe effettivamente il fingerprinting basato sull'interesse legittimo, o registra solo l'obiezione?
6. Pulizia cross-vendor
Se un'impronta digitale viene condivisa con una terza parte (una rete pubblicitaria, un fornitore di attribuzione, un fornitore di identità), tale condivisione è coperta da un consenso separato e divulgata nell'informativa sulla privacy?
Dove Si Colloca il Fingerprinting nel Futuro del Tracciamento
I produttori di browser stanno lavorando attivamente per ridurre l'entropia disponibile alle librerie di fingerprinting. L'ITP di Apple, la protezione integrata di Firefox e le proposte di Google Privacy Sandbox erodono tutte la superficie sottostante. Nessuno di questi interventi elimina tuttavia il problema normativo — anche un'impronta con entropia ridotta è comunque un dato personale quando riesce a identificare un utente, e ridurre il tasso di successo non cambia l'analisi giuridica quando funziona. Per gli editori, l'assunzione più sicura è che il fingerprinting continuerà ad essere una tecnica reale e rilevante per l'audit nei prossimi 24 mesi, che i regolatori continueranno a considerarlo equivalente ai cookie ai fini del consenso, e che la risposta operativa corretta è trattare il fingerprinting come qualsiasi altra superficie di tracciamento: inventariato, categorizzato per scopo, subordinato al consenso dove richiesto e documentato accuratamente dove procede sotto un'altra base giuridica.