{{feedLink}}

Revolut... ma cosa combini?

dark pattern Christian Bernieri - Tempo di lettura: 10 min.
(Aggiornato il )
Revolut AI generated image

Domenica è la giornata in cui voglio rilassarmi, pensare a cose futili, se sono fortunato riesco a grigliare, perdere tempo, riposare. In rare occasioni ho persino il privilegio di oziare.

Oggi, no, oggi purtroppo mi devo incazzare come un calabrone.

Come tanti, ho iniziato ad usare Revolut per la gestione domestica della prole, budget individuale, paghetta, piccole spese quotidiane ecc. Notevole, posso solo dirne bene perché non c'è nulla di simile o comparabile, nemmeno satispay.

Le funzionalità da web sono minimali e tutto si fa con l'APP. Sì, è comodo per quello che serve, ma è molto limitante per un certo aspetto, che a me sta a cuore: gestire documenti contrattuali, lunghi testi e le opzioni. La questione è oggettiva: le dimensioni del monitor, la necessità di annidare le varie funzioni e creare labirinti all'interno dei quali cercare ciò che serve... diciamo che lo smartphone non aiuta. 

Girovagando nelle opzioni mi sono reso conto che la suddivisione delle varie funzioni e l'annidamento non sono affatto casuali e, purtroppo, non è orientato alla massima trasparenza. Al contrario, ho avuto la netta sensazione di trovarmi di fronte ad una logica identica a quella adottata dalle peggiori piattaforme social, bravissime a nascondere ciò che vogliono rendere introvabile come, ad esempio, le opzioni privacy e la revoca dei consensi.Forse a causa della mia professione, ho sviluppato una certa confidenza con i dark pattern: li annuso da lontano, so dove trovarli e li riconosco al volo. Ecco, nell'App Revolut, i dark pattern ci sono. Non voglio parlare di quelli utilizzati per promuovere funzioni e servizi, ma di quello pensato per nascondere accuratamente ciò che nessuno vorrebbe mai. 

Ribadisco:    C I O    C H E    N E S S U N O    V O R R E B B E    M A I    !

Un menù più caotico degli altri, più lungo degli altri, meno navigabile, meno evidente, praticamente nascosto. Alla fine, dopo uno scroll decisamente differente da quello necessario per navigare ogni altra pagina dell'app, si trova la vera porcata che non mi sarei aspettato di trovare: l'opzione dell'infamia.

Sottolineature e colori sono aggiunti per poter commentare la schermata in modo più chiaro

Qui c'è un unico grosso bottone blu (1), che dice un sacco di cose.

Il bottone (1) è preselezionato su ON, quindi è attivo e dice che il consenso è stato manifestato. Mi domando come questo sia possibile, poiché non ho dato nessun consenso. In pratica, installando l'app e aderendo al servizio, si dà per scontato che l'utente dia a Revolut questa "autorizzazione" (2) a fare certe cose. Ma nel mondo della privacy, anzi, della protezione dei dati personali, l'autorizzazione non ha molto senso. Si deve parlare di CONSENSO, e questo "autorizzo" (2)  ha tutta l'aria di un consenso.

Peccato che il consenso non possa essere presunto, ma deve essere manifestato volontariamente e liberamente.

Non esiste un consenso preimpostato

Non esiste il consenso implicito

Non esiste il consenso per fatti concludenti

Non esiste un consenso acquisito senza che l'utente se ne sia accorto

 

In alcuni casi si potrebbe utilizzare il legittimo interesse, che funziona al contrario rispetto al consenso: nasce attivo e deve poter essere disattivabile dall'utente, ma non siamo certamente in questa situazione sia per il significato proprio del testo utilizzato, sia perché il legittimo interesse è espressamente vietato dalla legge in alcuni casi, esattamente quelli indicati dal testo a corredo del pulsante.

Ma a cosa serve esattamente questo consenso, che nessuno ha visto, che nessuno ha manifestato, ma che ogni utente Revolut risulterebbe aver dato?  

Troppe cose, troppe per un consenso solo. Nel gergo dei DPO, queste cose si chiamano trattamenti e ciascun trattamento ha una sua propria finalità. Vediamole:

  1. EFFETTUARE ATTIVITÀ DI ANALISI (7)
  2. PROFILAZIONE - INDIVIDUARE GLI INTERESSI DELL'UTENTE (7) 
  3. INVIO DI COMUNICAZIONI PUBBLICITARIE (DA PARTE DI REVOLUT) (6)
  4. CONDIVIDERE I DATI CON PIATTAFORME SOCIAL PER FINALITÀ PUBBLICITARIE (5)
  5. CONDIVIDERE I DATI CON PIATTAFORME PROMOZIONALI PER FINALITÀ PUBBLICITARIE (5)

 

Il GDPR richiede che l'utente possa scegliere cosa accettare e cosa autorizzare, ad esempio un utente potrebbe voler autorizzare l'analisi interna ma non la condivisione con Facebook. Unire tutto in un unico flag è una violazione specifica che dovrebbe essere accertata e sanzionata, peccato che chi presidia l'enforcement sia in altre faccende affaccendato.

 

Tutto questo ha come oggetto i dati personali dell'utente: nome, email e 🥁🥁🥁🥁 "eventi dell'app"!  Sempre per via del fatto che è domenica, bisognerebbe cooperare ed aiutarmi perché la mia reazione a questo passaggio potrebbe incrinare i miei rapporti con il Clero. Qualunque cosa significhi "eventi dell'app" non mi rassicura, anzi, mi lascia intravedere i peggiori scenari immaginabili.

 

Opacità come stile comunicativo! Si, questo è un dark pattern. Si, i dark pattern sono vietati dalla legge. Nello specifico, esistono anche linee guida dell'European Data Protection Board (EDPB) sui dark pattern nelle interfacce dei social media (e app finanziarie), richiamati anche dal Garante. Oltre alla norma, esistono quindi decine di pagine con esempi e chiarimenti che hanno una sola fondamentale funzione: qualificare le marachelle di Revolut come scelte consapevoli e non come errori in buonafede.

 

La questione diventa interessante se si confronta questa mono-opzione pigliatutto con una schermata presa dal sito, una di quelle pubblicate per farsi belli, per attrarre clienti, per apparire lucidi, brillanti, pettinati, patinati, glassati e profumati, ma sotto sotto la situazione è un'altra. Ecco come appare questa schermata nella pagina https://www.revolut.com/it-IT/privacy-policy/ 

Non so se si nota la differenza... nella versione promessa, anticipata dal sito, si vedono tre opzioni distinte, due delle quali disattivate. È molto rassicurante. Peccato che la versione in app, l'unica che conta, sia completamente differente, una sola opzione, preselezionata, per finalità che richiedono obbligatoriamente il consenso.

Anche questo è un dark pattern, l'ennesimo.

 

 

Dato che non mi piace lasciare le cose a metà, ho cercato l'informativa privacy e l'ho trovata a questo indirizzo: https://www.revolut.com/it-IT/legal/privacy/  Il testo sul web dice cose differenti da quelle che si capiscono tramite app. Ad un primo sguardo, sembra che il trattamento sia limitato a finalità di ottimizzazione della spesa pubblicitaria, per non mandare promozioni a chi già le conosce ecc. Ma le cose non stanno in questi termini. 

Se Revolut dice a Facebook (ed altri) di non mandarmi le pubblicità dei mutui revolut poiché ne ho già uno, indirettamente sta condividendo con una delle peggiori data company del pianeta il fatto che io abbia un mutuo. Stessa cosa per ogni altra operazione o "evento" gestito dall'app. Considerando la varietà di prodotti, servizi, offerte, partnership e ammennicoli vari, la mole di dati condivisi con le piattaforme social e le piattaforme marketing è immensa: figli minori, cointestatari, tenore di vita, spese effettuate, viaggi, prenotazioni, uso di servizi di vpn, noleggio auto, eventi medici assicurati, editoria, app di tracciamento del sonno, app didattiche, app per la ginnastica, persino TINDER GOLD... perché questi sono abbonamenti inclusi con il conto corrente, app o servizi che solo un folle non attiverebbe poiché sono gratis! 

I dati che vengono gestiti dall'app, gli eventi, ciò che viene condiviso con queste fantomatiche aziende di marketing e social, di cui non abbiamo il bene di conoscere l'identità, non sono "solo" dati comuni, ma dati e metadati che rivelano abitudini di vita, salute e orientamenti politici/religiosi (attraverso i pagamenti), rendendoli de facto dati "particolari" (ex sensibili). Dati che richiederebbero tutele massime e esimenti ad un previsto divieto di trattamento... e un consenso specifico e granulare.

 

"Scopri la nostra selezione di abbonamenti per migliorare ogni aspetto della tua vita. Dalle notizie al fitness, questo piano offre vantaggi senza pari con crediti da utilizzare presso i marchi più rinomati."

Sarà, ma a questo punto a me sembra folle usufruirne.

Un altro dark pattern.

 

Ma il bello arriva alla fine e, come spesso accade, dedico la chiusura del pezzo alla parte più gustosa della vicenda.

Per Revolut, tutto questo è effettuato sulla base del legittimo interesse.

Lo scrivono nell'informativa e, proprio grazie a questo, il bottone blu di "autorizzazione" è stata impostata come ON come valore predefinito.

 

Confesso che quando l'ho letto ho trasecolato. Revolut mi sta simpatica, ha un servizio eccellente, ma qui c'è una porcata talmente grande e sporca da meritare la pubblica gogna.

No, Revolut, la profilazione non può essere fatta sulla base del legittimo interesse, richiede un consenso libero, specifico, informato, esplicito ed autonomo. È scritto a chiare lettere nel GDPR.

No, Revolut, nemmeno la condivisione dei dati degli utenti con società esterne per fini di marketing può essere fatta sulla base del legittimo interesse, anche questo richiede un consenso libero, specifico, informato, esplicito ed autonomo. Anche questo è scritto a chiare lettere nel GDPR.

No, Revolut, non puoi dare questi dati a terzi, specialmente ad aziende dalla infima affidabilità, incapaci di proteggere i dati, che dichiarano impunemente le proprie intenzioni, che faranno ciò che vorranno con ogni informazione che verrà condivisa con loro. Sono aziende che hanno dichiarato di fare volentieri affari con truffatori professionisti! Quello che sta succedendo a tanta gente, scarnificata e mercificata nel peggiore dei modi, dipende dalla disponibilità dei dati e voi state alimentando un mercato turpe e immorale.

 

Questi non sono errori in buona fede, non è uno stiracchiamento della norma e non si sta giocando in una zona grigia, un terreno inesplorato o in qualcosa di non ben definito. No, qui c'è una chiara e palese violazione intenzionale della legge, della buonafede e dei diritti degli utenti e, secondo me, c'è anche una colossale pernacchia a chi dovrebbe far applicare la legge.

Questa violazione dice forte e chiaro una cosa sola: "Prrrrrrrrrr, manica di coglioni, noi facciamo quello che ci pare e voi Garanti non ve ne siete nemmeno accorti!"

 

 

Cosa fare?

Tanto per iniziare, ogni utente dovrebbe precipitarsi nelle opzioni dell'app e disattivare immediatamente quel maledetto flag. Dopodiché è necessario scrivere a  dpo@revolut.com chiedendo che tutti i dati condivisi sino al momento della disattivazione di questa sciagurata opzione siano cancellati presso i soggetti terzi con i quali sono stati condivisi.

Rimediare sarà difficile perché, ormai, i buoi sono scappati e stanno facendo il bagno nel latte versato.

Per il futuro, tanto per incominciare, si potrebbe smettere di far finta che basti il legittimo interesse e ricondurre questi trattamenti al CONSENSO, come impone il GDPR, e impostare questa fottuta opzione su OFF come impostazione predefinita.

Dopodiché, bisognerebbe avvisare le persone che non hanno esercitato l'opt-out ed informarle sul fatto che è in corso un trattamento così invasivo, tanto per vedere l'effetto che fa. Temo che questo non avverrà mai, sarebbe un danno di immagine colossale. Però potrebbe imporlo il Garante, se solo avesse voglia di occuparsi delle cose serie... e se solo ci fosse un Garante.

Sono abbastanza sicuro che, se ci fosse trasparenza su questa porcata, se solo le persone venissero informate correttamente, come chiede il GDPR, sarebbero ben pochi quelli che, entusiasticamente, cliccherebbero quel pulsante con scritto "ACCONSENTO", un pulsante che potrebbe serenamente riportare la dicitura "SI, FAI PURE, FOTTIMI SENZA VERGOGNA".

Prosit.

 

 

Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.

Puoi farlo in tre modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone,
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. In questo modo aiuterai me.

Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...