{{feedLink}}

Hells Bells: il movimento DrinDrin ha un grosso problema di coerenza.

profilazione Christian Bernieri
(Aggiornato il )
Altro che drindrin... AC/DC Hells Bells - mod.

 

Ringrazio De Mauro per aver definito molto bene il termine "coerenza":

da https://dizionario.internazionale.it/parola/coerenza
da https://dizionario.internazionale.it/parola/coerenza

 

Sulla base di questa definizione, posso affermare che il movimento DrinDrin ha un serio problema di coerenza.

No, la politica non è il mio mestiere. Esecro la politica. A parte qualche raro caso, come il compianto Sassoli, considero i politici degli squallidi faccendieri disinteressati al bene pubblico, ignoranti, dediti all'arte del non fare nulla nella vita campando di amicizie, di scambio opportunistico, abusando del potere conquistato in modo torbido e clientelare. Tuttavia, sono un inguaribile ottimista e ogni giorno spero che nasca un'alternativa credibile, capace di competere nell'agone.

Purtroppo, anche oggi nascerà domani.

Seguendo buffi percorsi, mi sono imbattuto nel movimento DrinDrin e, tra un post e l'altro, ho osato segnalare alcuni margini di miglioramento. Sarebbe potuto finire tutto lì, con un ringraziamento a denti stretti, ma la reazione è stata molto diversa, direi spocchiosa, una sfida. Sfida accettata. 

"Siori e Siore, venghino, ecco a voi il movimento DrinDrin, in purezza."

 

Partirei dall'inizio... ovvero dal codice etico, un documento che descrive il movimento e i suoi valori fondamentali, qualcosa che non può essere messo in discussione e che rappresenta ciò che conta veramente. Il resto potrà anche piegarsi alla sorte, alle circostanze, alla realtà, all'interesse contingente, al compromesso... ma non i principi del codice e del manifesto, quelli no!

È lecito, quindi, aspettarsi "competenza" e "onestà intellettuale". Purtroppo, la competenza è messa in crisi dall'evidenza e l'onestà intellettuale implode sotto il peso della menzogna.

 

A differenza di un politico, non voglio limitarmi ad enunciare slogan e frasi ad effetto. Amo distinguermi da chi vivacchia di suggestioni e, per questo, voglio consistenza ai concetti. 

Ecco i fatti... e quelli più gustosi li lascio alla fine.

 

Visitando il sito del movimento Drindrin, come prima cosa si incontra un banner, una consuetudine rassicurante: "Se c'è il banner, significa che la privacy è a posto".

Ma nemmeno per sogno!

Avrei voluto scrivere "manco per il cazzo" ma non voglio buttarla in caciara.

Ecco un fantastico esempio di cosa non fare: usare Iubenda per gestire la privacy. È un po' come mettere il conte Dracula come custode notturno della banca del sangue dell'avis, oppure Pacciani come portiere di notte in un motel.  Ogni visitatore che visualizza il banner o l'informativa condivide i propri dati con iubenda e tutto il framework sottostante. Per come è implementato il banner nel sito, sono presentati solo alcuni dei cookie utilizzati e viene anche chiesto un consenso... tuttavia nulla impedisce ai cookie di attivarsi e di funzionale anche in assenza di risposta dell'utente o in assenza di consenso.

long story short: è solo fuffa, tanta fuffa.

I cookie sono attivi ben prima che l'utente possa esercitare una scelta, prima che possa visualizzare l'informativa, prima che possa dire "mavaffanc..."

Non è difficile dimostrarlo, chiunque può constatare la drammatica bugia che quel cookie banner rappresenta. Anche il Garante Privacy dovrebbe farlo, tuttavia, pare in tutt'altre faccende affaccendato.

 

Accedendo alla homepage del sito sono rilevabili anche altre tecnologie che rinviano a server di altre aziende:

Il semplice accesso attiva chiamate esterne (connessioni con server altrui), non annunciate, non evitabili, non necessarie, per le quali non viene chiesto alcun consenso e spesso situate in paesi extras UE. Il luogo dove andranno i dati non è un dettaglio perché i dati trattati in Europa sono protetti dal GDPR, mentre quelli  trattati nei paesi terzi sono completamente fuori controllo!

Il Garante Privacy ha già sanzionato diverse aziende per aver generato traffico diretto verso gli USA senza dichiararlo e senza chiedere il consenso; quindi una persona dotata di buonsenso dovrebbe evitarlo. Un ente dotato di sani principi etici dovrebbe proprio farsi una domanda.

Facebook... Google Tag Manager sono decisamente NON NECESSARI e, volendosi documentare, si scopre facilmente che si tratta di mera monetizzazione del traffico: fare cassa con i dati dei visitatori. Decisamente poco coerente con il codice etico.

Il sito tesse una ragnatela di collegamenti inutili o perniciosi, attivati ad insaputa del visitatore, prescindendo da qualsiasi consenso:

 

Premesso che il consenso che viene chiesto è puro fumo negli occhi, anche se l'utente non da alcun consenso, il sito attiva questi cookie:

Uno di questi ha durata sconsiderata, pari ad un anno, ma sarebbe il meno... i cookie non sono l'unica cosa che il sito genera, ci sono anche le chiamate esterne, quelle della ragnatela e che, come indicato dal Garante Privacy, rappresentano tecnologie di tracciamento e profilazione analoghe e assimilabili ai cookie. 

 

Qui viene il bello.

Viral-loops, Iubenda,  Brevo, Sibautomations: una fogna di tracker, bloccati da quasi tutte le liste anti tracker:  Goodbye AdsAdGuard DNS filternotrackingEasyPrivacyAdGuard Tracking Protection filterLightswitch05 - Ads & TrackingOISD e  NoTrack Tracker Blocklist.

Come se questo non bastasse, per visualizzare i font delle pagine web, il sito non utilizza font locali...ma li va a pescare su un servizio di google, implementandolo nel peggiore dei modi possibili: causando una connessione tra ogni visitatore e i server di google fonts, ad ogni singola visualizzazione.

Non esiste una ragione tecnica che giustifichi questo. Le uniche spiegazioni possibili sono:

  1. immensa sciatteria e crassa incompetenza (incompatibile con il codice etico)
  2. monetizzazione del traffico (incompatibile con il codice etico)
  3. odiare i propri visitatori e volere il loro male (incompatibile con il codice etico)

Tutto questo accade semplicemente visualizzando la HOMEPAGE, senza fare alcuna attività, senza scorrere la pagina, senza aprire link, senza interagire, senza cliccare nulla. Qualora un utente avesse la sciagurata idea di navigare nel sito e provare ad aprire le pagine altre pagine, per vedere come eventualmente contribuire ecc, attiverebbe una miriade di funzioni e uno tsunami di tracciamenti e condivisioni aggiuntive.

Ecco uno spaccato di ciò che si raccoglie con pochi click di navigazione nel sito:

ELENCO DELLE CHIAMATE ESTERNE - TOTALI
ELENCO DI TUTTI I COOKIE ATTIVATI - TOTALI
BEACONS - TRACKER UNIVOCI - TOTALI

Provo a raccontare questi dati in prosa:

chiunque visiti il sito drindrin, a causa di una precisa scelta di drindrin, genera un flusso di connessioni e di condivisione dati, non tecnicamente necessario, che rende visibile (ed utilizzabile) ad una pluralità di soggetti il fatto di essersi interessati al movimento, anzi, al partito. Il fatto di aver aderito ad un movimento, ed ancora di più ad un partito politico, è qualificato come "dato particolare" (meglio noto come "dato sensibile") e non può essere considerato alla stregua della preferenza tra due marche di patatine o di cibo per gatti.

(addenda) Ovviamente visitare il sito di un partito non significa essere un militante iscritto, ma concorre alla profilazione aggiungendo un elemento. Chi fa profilazione non va troppo per il sottile, o meglio, prende questa informazione (la mera visita del sito) molto sul serio, la combina ad altre e la usa per qualificare i comportamenti della persona. Poco importa che un utente sia veramente iscritto, se sul sito del partito ci sono i tracker, chiunque interagisca con il sito viene etichettato come persona che gravita in quell'area politica. Se visiti diversi siti di diversi partiti, l'informazione diventa in negativo: gravita nell'area di tanti partiti, eccetto quello XYZ. Per questo parlo di dati particolari.

I dati sensibili devono essere protetti, c'è un preciso dovere di limitarne la visibilità unicamente ai soggetti che hanno una reale necessità di trattare tali dati... ed in questo caso avviene l'esatto contrario:

  1. i dati sensibili sono condivisi con una moltitudine di soggetti esterni
  2. sono trattati da terzi per finalità non necessarie o, in ogni caso, evitabili 
  3. l'uso dichiarato di questi dati è incompatibile con la natura sensibile del dato: marketing, profilazione, condivisione con data company.

Non penso che drindrin faccia direttamente queste brutte cose, ma si è volontariamente contornata di canaglie, ospitate sul suo sito. Queste non si fanno alcuno scrupolo e campano grazie al traffico dati che drindrin condivide con loro. Che dire... spero almeno che questi galantuomini siano riconoscenti e che paghino profumatamente i dati che ricevono. Se così non fosse, drindrin rappresenterebbe la manifestazione plastica della definizione di stupidità, descritta dalla Terza Legge Fondamentale della stupidità umana di "Allegro ma non troppo".

 

Da un punto di vista tecnico, questo fiume di dati si genera senza alcun senso e solo per danneggiare l'utente:

  • iubenda.com
  • stripe.com
  • lu.ma
  • sentry.io
  • sibautomations.com
  • googleanalytics.com
  • googletagmanager.com
  • hcaptcha.com
  • fonts.googleapis.com
  • fonts.gstatic.com
  • viral-loops.com
  • brevo.com
  • datawrapper.de

I servizi legati al pagamento dovrebbero essere attivati solo se un visitatore vuole effettivamente procedere al pagamento, non se si limita a gironzolare nella pagina che descrive come contribuire al progetto.

La maggior parte dei sistemi analitici sono di parte terza e, per essere attivati, richiedono il consenso esplicito di ogni utente che, come ho detto, avviene solo in modo formale.

I font, i grafici e le altre funzioni da fighetti dovrebbero funzionare con risorse interne, senza pescare da server esterni.

Iubenda, ça va sans dire, non ha bisogno di ricevere dettagli su ogni navigazione, ogni pagina aperta, ogni click di ogni singolo utente... ma tant'è.

Con riferimento a Iubenda ho già scritto molto e non vorrei ripetere cose già note. Di fatto, di fronte alla necessità di adempiere al GDPR, è stata fatta la scelta peggiore tra le tante possibili, senza peraltro raggiungere lo scopo, anzi, peggiorando la situazione. Geniale.

 

Dulcis in fundo, un bel pixel di tracciamento e profilazione di facebook. Farà piacere sapere che ogni utente che abbia visitato il sito drindrin ha arricchito la profilazione che facebook fa di lui, aggiungendo un fantastico dato sensibile relativo all'adesione a partiti politici. Ovviamente non c'è stato consenso nè consapevolezza. Non male. Ma tranquilli... Drindrin punta all'eccellenza, rispetta i diritti delle persone e osserva la legge. Credici!

 

Prima del botto finale, qualcosina di tecnico.

Il sito si appoggia ad un banalissimo wordpress, peraltro mal configurato e infestato con 14 plugins: versione 6.8.2.   Se io riesco a leggere la versione, significa che posso anche trovare le vulnerabilità e che posso bucare il sito. Geniale dichiararlo.

Plugin:

  1. Paid Memberships Pro - Plugin rimosso da wordpress
  2. WooCommerce
  3. Variation Swatches for WooCommerce
  4. Elementor Website Builder
  5. Woocommerce Name Your Price
  6. WooCommerce Stripe Payment Gateway
  7. WPForms Premium
  8. iubenda | All-in-one Compliance for GDPR / CCPA Cookie Consent + more
  9. Site Kit by Google – Analytics, Search Console, AdSense, Speed
  10. Elementor Pro
  11. WP Consent API
  12. All in One SEO – Best WordPress SEO Plugin – Easily Improve SEO Rankings & Increase Traffic
  13. Breeze – WordPress Cache Plugin
  14. Contact Form by WPForms – Drag & Drop Form Builder for WordPress

Una miniera d'oro, dati che finiscono copiosi nelle mani di altrettanti provider di cui nessuno sa niente... o meglio, che non danno alcuna garanzia, né a drindrin, né ai visitatori.

Poi... 

Il file  debug.log di WordPress  è liberamente accessibile ed è come mettere sulla posta di casa un cartello con scritto che le chiavi sono sotto lo zerbino.


Altre cosette di cui i nostri eroi dovrebbero occuparsi sono gli header e i file .txt mancanti:
Il sito non presenta molti degli header di sicurezza necessari:
 
Sempre per stare su questioni tecniche, il sito NON PRESENTA alcun Security.txt   un file che dovrebbe raccogliere e presentare informazioni da pubblicare e che, in questo caso, si è deciso di non dichiarare. Molto trasparente, non c'è che dire.

 

Abbandonando le questioni tecniche, non resta che parlare dell'informativa. Si, ma quale? Ce ne sono troppe.

  1. c'è una privacy policy - https://movimentodrindrin.it/privacy-policy/
  2. c'è una seconda privacy policy - https://www.iubenda.com/privacy-policy/22620818/cookie-policy?an=no&s_ck=false&newmarkup=yes 
  3. c'è anche una cookie policy - https://movimentodrindrin.it/cookie-policy/
  4. c'è anche un'altra cookie policy - https://www.iubenda.com/privacy-policy/22620818/cookie-policy?an=no&s_ck=false&newmarkup=yes 
  5. c'è persino una informativa per le newsletter - https://movimentodrindrin.it/informativa-newsletter/

La cosa bella è che nessuna di queste informative è a norma rispetto al GDPR. Dovrebbero essere previsti determinati contenuti che, nel caso di drindrin, mancano. Fantastico. Forse sarebbe bastata una sola informativa ma fatta bene.

Tutta questa confusione si traduce in confusione per l'utente che nella stessa pagina trova 4 link a 4 informative ma senza poter capire le differenze. È un modo per demotivare la consultazione di queste panzane retoriche ed inconcludenti.

 

Dulcis in fundo... parliamo della un po' della Newsletter... pregusto crasse risate.

 

In più parti del sito viene data la possibilità di iscriversi alla newsletter. Nulla in contrario, ma partiamo male con le informative multiple. Le persone dovrebbero sapere cosa accadrà dopo il fatidico click e, in questo caso, non si capisce una beata fava perché le informazioni sono sapientemente distribuite un po' qua e un po' la, tanto per rendere la vita dura agli utenti. La malcelata intenzione è quella di confondere talmente le acque da non capirci più niente e, se questo è l'obbiettivo, è centrato in pieno. Uno dei due link porta ad un documento che dice cose pucciose e coccolose, l'altro è simpatico e sgarzullino, si ha l'impressione che nulla di brutto possa accadere, ma l'unica cosa certa è che non si capisce cosa accadrà ai dati personali. È l'esatto contrario di ciò che chiede il GDPR.
Intendiamoci, secondo una certa becera visione formale, se l'utente non ha capito è solo un problema suo, peccato che il GDPR metta l'utente al centro e se il titolare del trattamento (drin dirn) non è stato in grado di rendere comprensibile il trattamento, significa che il movimento ha violato la legge e fallito miseramente.

Aver incasinato le cose a questo punto porta l'utente medio clicca e basta, perché è sopraffatto dalle complicazioni.

Provando a proseguire si scopre che entrambe le caselle di spunta sono OBBLIGATORIE. La prima chiede solo di leggere le informative. Nessuno le può leggere ma facciamo finta di crederci...

La seconda casellina è drammatica: un CONSENSO OBBLIGATORIO PER FINALITA' DI MARKETING... che non hanno nulla a che vedere con l'iscrizione alla newsletter.

Già, questa è la vera porcata, quella brutta brutta brutta ed inconciliabile con il codice etico, con i principi, con la legge, con il GDPR, con la buonafede, con il rispetto e con tutte quelle belle cose che ora, per drindrin, sono diventate irrilevanti stronzate.

Con tutta evidenza questo è ciò che si chiama DARK PATTERN: un condizionamento della peggior specie, unito ad una violazione palese di legge. L'unica cosa che drindrin vuole fare è estorcere un consenso per poter fare marketing, per poter lucrare sui dati, per monetizzarli al soldo di chiunque li voglia usare... non penso che sia in linea con le intenzioni dichiarate e con ciò che si aspetta l'utente.

Per la cronaca, il GDPR prevede che il consenso sia sempre facoltativo, che non possa mai essere considerato obbligatorio o necessario e che, soprattutto, sia separato da altre finalità per le quali un visitatore si trova a conferire dati. 

Un conto è l'iscrizione alla newsletter che, come descritto nell'informativa, non richiede affatto il consenso... basta farne richiesta e basta inviare il proprio indirizzo email per legittimare il trattamento; un altra cosa è il marketing, che sarà attivato solo con i dati di chi decide liberamente di accettarlo, solo per chi lo desidera... peccato che chiunque voglia iscriversi alla newsletter è obbligato a cliccare e dare quel consenso. E c'è anche la preso per il culo perché drindrin prova a far credere alla gente che quel click serva per la newsletter... mentre servirà per mercificare i dati sgraffignati.

Complimenti drindrin. Ci vuole un certo pelo sullo stomaco per proporsi come puri ed intransigenti e poi rovistare con le mani nella merda per raccattare quattro spicci, senza nemmeno turarsi il naso.

 

Forse ora è venuto il momento di mettere da parte la spocchia e scendere dal piedistallo del campiun del mund.
Drindrin, fate i bravi, citofonate al vostro DPO e chiedetegli se questa trovata è veramente una buona idea, oppure se è una grave violazione del GDPR che sgretolerà la vostra credibilità prima ancora che riusciate a costruirla. Ascoltate il suo parere, perché cercherà di dirvi che siete degli imbecilli, ma in modo molto dolce per non perdere il suo fatturato. Viste le premesse, è sicuramente una persona competente.

Questa colossale figuraccia è stata sollecitata dal movimento drindrin stesso che, impavido, desidera affrontare la realtà a muso duro. Ho fatto del mio meglio per non deluderlo.

 

Prosit.

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...

Toggle darkmode