utenti

La Commissione europea ha inviato a Meta le conclusioni preliminari della sua indagine, secondo cui il suo modello pubblicitario “Pay or Consent” non è conforme al regolamento sui mercati digitali. Secondo il parere preliminare della Commissione, la scelta binaria prevista dal modello obbliga gli utenti ad acconsentire alla combinazione dei loro dati personali e non prevede la possibilità di una versione meno personalizzata ma equivalente dei social network di Meta.

Le piattaforme online spesso raccolgono dati personali attraverso servizi propri e di terzi al fine di fornire servizi pubblicitari online. In considerazione della posizione significativa che occupano sui mercati digitali, i gatekeeper sono riusciti ad imporre alla loro ampia base di utenti condizioni di servizio che hanno permesso loro di raccogliere enormi quantità di dati personali. Ciò ha conferito loro potenziali vantaggi rispetto ai concorrenti che non hanno accesso a una quantità così ampia di dati, creando in tal modo notevoli ostacoli alla fornitura di servizi pubblicitari online e di servizi di social network.

A norma dell’articolo 5, paragrafo 2, del regolamento sui mercati digitali, i gatekeeper devono chiedere il consenso degli utenti alla combinazione dei loro dati personali provenienti dai servizi di piattaforma di base designati e da altri servizi e, se un utente rifiuta tale consenso, dovrebbe essere disponibile un’alternativa meno personalizzata ma equivalente. I gatekeeper non possono subordinare l’uso del servizio o di determinate funzionalità al consenso degli utenti.

In risposta alle modifiche normative adottate dall’UE, nel novembre 2023 Meta ha introdotto un’offerta binaria “Pay or Consent”, in base alla quale gli utenti dell’UE di Facebook e Instagram devono scegliere tra: i) l’abbonamento, a fronte di un canone mensile, a una versione di tali social network priva di annunci pubblicitari o ii) l’accesso gratuito a una versione di tali social network con annunci pubblicitari personalizzati.

La Commissione ritiene in via preliminare che il modello pubblicitario “Pay or Consent” di Meta non sia conforme al regolamento sui mercati digitali in quanto non soddisfa i requisiti necessari di cui all’articolo 5, paragrafo 2. In particolare, il modello di Meta: non permette agli utenti di optare per un servizio che utilizzi un quantitativo inferiore dei loro dati personali ma che sia comunque equivalente al servizio che prevede gli annunci pubblicitari personalizzati; non permette agli utenti di esercitare il loro diritto di acconsentire liberamente alla combinazione dei loro dati personali.

Per garantire il rispetto del regolamento sui mercati digitali, gli utenti che non danno il loro consenso dovrebbero comunque avere accesso a un servizio equivalente che utilizza un quantitativo inferiore dei loro dati personali, in questo caso ai fini della personalizzazione degli annunci pubblicitari.

Nel corso della sua indagine, la Commissione si è coordinata con le autorità competenti per la protezione dei dati.

Inviando le sue conclusioni preliminari, la Commissione informa Meta del suo parere preliminare secondo cui l’impresa viola il regolamento sui mercati digitali, senza che con questo venga pregiudicato l’esito dell’indagine. Meta ha ora la possibilità di esercitare i propri diritti di difesa esaminando i documenti contenuti nel fascicolo d’indagine della Commissione e rispondendo per iscritto alle conclusioni preliminari della Commissione. La Commissione concluderà la sua indagine entro 12 mesi dall’apertura del procedimento, che è avvenuta il 25 marzo 2024.

Se il parere preliminare della Commissione dovesse essere confermato, la Commissione adotterebbe una decisione secondo la quale il modello di Meta non è conforme all’articolo 5, paragrafo 2, del regolamento sui mercati digitali.

In caso di inosservanza, la Commissione può infliggere ammende fino al 10% del fatturato mondiale totale del gatekeeper. In caso di recidiva, tali ammende possono arrivare fino al 20%. Nell’eventualità di violazioni sistematiche, alla Commissione è conferito anche il potere di imporre rimedi aggiuntivi, quali l’obbligo per un gatekeeper di vendere un’impresa o parti di essa o il divieto di acquisire altri servizi connessi all’inosservanza sistemica.

La Commissione ha pubblicato orientamenti non vincolanti per aiutare le piattaforme online e i motori di ricerca che rientrano nell’ambito di applicazione della normativa sui servizi digitali a conformarsi all’obbligo di comunicare il numero di utenti nell’UE entro il 17 febbraio 2023 e successivamente almeno una volta ogni sei mesi.

La Commissione pubblica questi orientamenti per rispondere a domande pratiche sulle disposizioni della normativa sui servizi digitali relative all’obbligo di pubblicare il numero di utenti. Qualora il numero di utenti raggiungesse più del 10% della popolazione dell’UE (45 milioni di utenti), la Commissione designerebbe le piattaforme e i motori di ricerca come, rispettivamente, piattaforma online di dimensioni molto grandi e motori di ricerca online di dimensioni molto grandi. Ciò significa che sarebbero soggetti a obblighi aggiuntivi, come la valutazione del rischio e l’adozione delle relative misure di mitigazione.

La normativa sui servizi digitali, entrata in vigore il 16 novembre 2022, è un insieme di norme fondamentali dell’UE che mirano a promuovere un ambiente online più sicuro e responsabile, e si applica a tutti i servizi digitali che mettono i consumatori in collegamento con beni, servizi o contenuti. Stabilisce nuovi obblighi globali per le piattaforme online allo scopo di ridurre i danni e contrastare i rischi online, introduce forti tutele per i diritti degli utenti e colloca le piattaforme digitali in un nuovo quadro di trasparenza e responsabilità unico nel suo genere.

Secondo quanto segnalato dall’esperto di sicurezza Brian Krebs, Facebook ha archiviato in chiaro alcune centinaia di milioni di password (da 200 a 600) dei propri utenti, in un formato cioè che poteva essere letto senza alcuna fatica da parte di oltre ventimila dipendenti dell’azienda. La causa di questo fenomeno sarebbe da ricercarsi in una serie di applicazioni, scritte dai dipendenti di Facebook, che conservavano le password senza alcuna protezione all’interno dei server aziendali. Queste password venivano poi utilizzate internamente – da circa 2.000 sviluppatori, secondo Krebs – come oggetto di test e ricerche.

Non appena la notizia s’è diffusa (alcune delle password risalgono al 2012), Facebook ha reagito con un post sul blog ufficiale, nel quale ammette di essere a conoscenza dell’intera vicenda sin da gennaio (ma finora non aveva aperto bocca e questo lascia sospettare che, se Krebs non avesse parlato nessuno ancora ne saprebbe nulla). Il social network sostiene poi che le password non erano «visibili a nessuno al di fuori di Facebook» e che non ci sono prove di un eventuale abuso di esse. 

Gli utenti interessati dal fenomeno saranno ora avvisati tramite email e invitati a cambiare password. Facebook invierà notifiche a “centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti Facebook e decine di migliaia di utenti Instagram».

In un momento in cui Facebook si sta offrendo come intermediario per gli acquisti tramite Instagram, peraltro, dimostrare di non essere capace di gestire bene una cosa fondamentale come le password non incoraggia certo ad affidarle transazioni che riguardino carte di credito.

Non che si possa rimproverare mancata trasparenza a Facebook, ma la richiesta avanzata lo scorso 14 giugno per brevettare una tecnologia che le consenta di attivare da remoto i microfoni  degli smartphone degli utenti e iniziare a registrare su comando lascia quantomeno perplessi sulle intenzioni recondite che la società di Cupertino lascia trasparire.

Il comando in questione è un suono ad alta frequenza, impercettibile per l’udito umano che viaggia di nascosto all’interno di «contenuti trasmessi» e viene captato dal microfono del telefonino che inizia di conseguenza a registrare i «rumori ambientali», vale a dire tutti i suoni alla sua portata, conversazioni comprese, per poi inviare «una impronta digitale ambientale sonora» a Facebook così che il social network possa analizzarla.

Il sistema di analisi identifica quindi i contenuti che hanno attivato la registrazione (per esempio il prodotto pubblicizzato) e registra l’avvenuta “visualizzazione” (come accade per i banner online) da parte dell’utente.

Allen Lo, vicepresidente di Facebook, ha confermato che il social network ha ideato e vuole proteggere quella tecnologia, asserendo che «È pratica comune richiedere dei brevetti per prevenire gli attacchi da parte delle altre aziende. Per questo motivo, i brevetti tendono a riguardare tecnologie futuristiche spesso di natura ipotetica, e che potrebbero venir commercializzate da altre aziende». La mossa sarebbe dunque di carattere preventivo: tramite il brevetto, Facebook impedisce che quella tecnologia finisca legalmente in mano a chi, diversamente da quanto promette la stessa azienda californiana, potrebbe fare un cattivo uso.  «La tecnologia descritta in questo brevetto non è stata integrata in alcuno dei nostri prodotti, né lo sarà mai» ha precisato Lo. Una spiegazione forse anche davvero sincera, ma che non può fugare tutti i dubbi dopo quanto è emerso sui dati di utenti del social network utilizzati durante la campagna elettorale per le presidenziali Usa del 2016.