Dark patterns e privacy: il rapporto Sweep 2024 del GPEN rivela le strategie ingannevoli delle piattaforme digitali

Il Global Privacy Enforcement Network (“GPEN”) ha pubblicato il rapporto dello Sweep 2024 (“Sweep”) incentrato sui Deceptive Design Patterns (“DDPs”), noti anche come “dark patterns” (o modelli di progettazione ingannevoli), riscontrati nei siti web e nelle app mobile.

L’obiettivo è quello di analizzare come le scelte di design delle piattaforme digitali siano in grado di influenzare, manipolare o costringere gli utenti a prendere decisioni contrarie ai loro interessi, specialmente con riferimento alla loro privacy.

Ma cos’è il GPEN e cosa è emerso durante lo Sweep?

Il GPEN – creato nel 2010 prendendo spunto da una raccomandazione[1] dell’Organizzazione per la cooperazione e lo sviluppo economico (“OCSE”) – rappresenta una rete informale di Autorità di controllo e di altre parti interessate, per discutere gli aspetti pratici della cooperazione in materia di applicazione delle normative sulla protezione dei dati.

Il GPEN coordina il c.d. Privacy Sweep, ovvero un’indagine conoscitiva che, per l’anno 2024, si è incentrata sui dark patterns.

Con la definizione di “dark pattern” vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Detti anche “modelli di progettazione ingannevoli”, i dark pattern mirano dunque a influenzare il nostro comportamento e possono ostacolare la capacità di proteggere efficacemente i nostri dati personali[2].

Lo Sweep, svoltosi dal 29 gennaio al 2 febbraio 2024, ha visto la partecipazione di 26 Autorità di controllo, tra cui l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”). Per la prima volta, lo Sweep di quest’anno si è svolto in collaborazione con l’International Consumer Protection and Enforcement Network, evidenziando l’importanza dei DDPs sia sotto il profilo della tutela dei dati personali che di quella dei consumatori, questioni fondamentali nell’ambito dell’economia digitale.

La metodologia seguita

L’obiettivo perseguito dallo Sweep è stato quello di chiedere ai partecipanti (cd. “Sweepers”) di replicare l’esperienza degli utenti/consumatori, interagendo con siti web e app mobile al fine di valutare le modalità con cui questi gestiscono le scelte sulla privacy, acquisiscono il consenso informato degli utenti/consumatori e gestiscono le procedure di log-out e cancellazione degli account.

L’analisi dei siti web e delle app è stata condotta sulla base di un questionario strutturato su cinque indicatori chiave, ritenuti rilevanti sia dalla normativa privacy che dalla normativa consumeristica, e derivanti dalla tassonomia dei dark patterns dell’OCSE[3]:

1. linguaggio complesso e confuso (complex and confusing language): DDP che connota la presenza di informative privacy eccessivamente lunghe o che utilizzano un linguaggio troppo tecnico o complicato per l’utente medio. In tali circostanze, gli utenti tendono a non leggere o a non comprendere pienamente il contenuto dell’informativa, rischiando così di adottare decisioni potenzialmente non conformi alle loro reali preferenze in materia di privacy.
2. Interferenza dell’interfaccia (interface interference): uso di elementi di design e metodi di presentazione che alterano la percezione e il processo decisionale degli utenti in merito alle opzioni sulla privacy. Rientrano in questa categoria diverse tipologie di DDPs, quali:
   • falsa gerarchia (false hierarchy): vengono messi in risalto alcuni elementi oscurandone altri, incanalando così gli utenti verso opzioni meno tutelanti per la loro privacy (ad esempio, quando nella cookie policy l’opzione “accetta tutti i cookie” presenta un colore diverso, più acceso, risultando, dunque, in evidenza);
   • preselezione (preselection): vengono preselezionate di default opzioni più invasive per la privacy;
   • confirm-shaming: viene utilizzato un linguaggio emotivo in modo da far propendere gli utenti verso le opzioni preferite dalla piattaforma (ad esempio: “sei sicuro di voler cancellare il tuo account? Sarebbe un peccato vederti andar via!”).
3. Fastidio (nagging): tecnica con cui i siti web e le app invitano ripetutamente gli utenti a compiere un’azione specifica (ad esempio, rivedere i propri dati sulla privacy o accedere al proprio account) a favore degli scopi dell’organizzazione. Tali richieste ripetute e assillanti interrompono l’esperienza dell’utente e possono incoraggiarlo a cedere alle richieste pur di evitare il “fastidio” di ulteriori sollecitazioni.
4. Ostruzione (obstruction): consiste nell’inserire ulteriori passaggi (c.d. click fatigue) tra gli utenti e i loro obiettivi, dissuadendoli o rendendoli meno motivati a compiere le scelte legate alla privacy (ad esempio, con riguardo alle preferenze sui cookie) che invece avrebbero intrapreso. Tale tecnica può essere molto efficace perché sfrutta il tempo, l’attenzione e/o la disponibilità limitata degli utenti a navigare su siti web e app.
5. Azione forzata (forced action): questo tipo di DDPs costringe gli utenti – o li inganna facendo credere che sia necessario – a fornire più dati personali del necessario (ad esempio, quando nella cookie policy è presente solo la voce “accettare” o “accetta tutti i cookie”).

I risultati e le raccomandazioni del GPEN

Gli Sweepers hanno rilevato la presenza di DDPs nella maggior parte dei siti web e app esaminate, con il 97% dei casi contenenti almeno un dark pattern. Il DDP più frequentemente riscontrato è stato il “complex and confusing language”. Infatti, l’89% delle informative privacy risultava eccessivamente lunga o caratterizzata da un linguaggio tecnico e complesso, ostacolando così l’effettiva comprensione da parte degli utenti.

Le Autorità di controllo hanno inoltre evidenziato la presenza di “interface interference” nel 43% dei casi e di “obstruction” nel 39%. Ad esempio, l’opzione per la cancellazione degli account era spesso difficilmente individuabile o richiedeva numerosi passaggi (click), mentre nel 55% dei casi non era prevista un’opzione diretta per la cancellazione dell’account.

Meno comuni, ma comunque presenti, sono stati i DDPs delle azioni fastidiose (pari al 14%) e forzate (pari al 21%).

In termini generali, il GPEN ha osservato che la maggior parte dei siti web e delle app risulta progettata per incentivare gli utenti a maturare decisioni in materia di privacy che non favoriscono i propri interessi, ma – al contrario – quelli delle piattaforme stesse. Pertanto, al fine di mitigare l’impatto negativo dei dark pattern, il GPEN ha evidenziato diverse azioni che le organizzazioni potrebbero attuare, anche in un’ottica di accountability, quali per esempio:

• semplificare le informative privacy per renderle più comprensibili agli utenti;
• progettare interfacce web e applicative che rispettino le scelte degli utenti;
• evitare il fenomeno della c.d. click fatigue;
• fornire opzioni semplici, chiare e immediate che permettano agli utenti di esprimere le proprie preferenze in materia di privacy.

Considerato quanto sopra, il GPEN ha evidenziato con chiarezza la pervasività dei dark patterns nelle piattaforme digitali e il loro impatto negativo sui diritti degli utenti, in particolare sulla loro capacità di prendere decisioni informate in materia di privacy. Con il 97% dei siti web e delle app esaminati che presentano almeno un DDP, emerge un quadro preoccupante in cui le scelte progettuali vengono spesso utilizzate per manipolare gli utenti, favorendo gli interessi delle piattaforme a discapito della tutela dei dati personali.

L’analisi condotta dal GPEN non solo sottolinea la necessità di interventi correttivi, ma offre anche raccomandazioni concrete per le organizzazioni per consentire loro di rispettare le scelte degli utenti e volte a evitare pratiche di progettazione ingannevoli.

In tale ottica – si comprende dalla lettura dello Sweep – si può ricorrere a tecniche di legal design, che, adottando una visione umano-centrica, garantiscono che le informazioni siano facilmente comprensibili, fruibili e accessibili a tutti.

Ma la normativa privacy non è l’unica ad attenzionare il tema dei dark patterns. Infatti, gli obblighi di trasparenza verso gli utenti e il divieto di utilizzo dei dark patterns trovano un’apposita disciplina anche nel D.Lgs. 206/2005 (“Codice del Consumo”), in base al quale i DDPs potrebbero configurarsi come omissioni ingannevoli (art. 22, co. 2, del Codice del Consumo) in quanto comportano l’occultamento o la presentazione ambigua di informazioni rilevanti.

Pertanto, come precisato anche dal GPEN, solo implementando pratiche di design orientate alla tutela della privacy, le organizzazioni potranno offrire agli utenti esperienze prive di indebite influenze, manipolazioni o coercizioni, rafforzando al contempo la fiducia dei consumatori e garantendo la conformità normativa alle disposizioni del GDPR e del Codice del Consumo.

[1] Raccomandazione del 12 giugno 2007 sulla cooperazione transfrontaliera nell’attuazione di normative in materia di privacy.

[2] Il 24 febbraio 2023, il Comitato europeo per la protezione dati (EDPB) ha pubblicato le linee guida su come riconoscere ed evitare questi sistemi. Il documento offre raccomandazioni pratiche a gestori dei social media, a designer e utenti su come comportarsi di fronte a queste interfacce che si pongono in violazione del Regolamento europeo in materia di protezione dati. Cfr. Linee Guida 3/2022, “Dark patterns in social media platform interfaces: how to recognize and avoid them”.

[3] “Dark commercial Patterns”, OECD Digital economy papers, Ottobre 2022, n. 336.