Dark patterns o Deceptive patterns: cosa sono e tipologie

19 luglio 2023Ultimo aggiornamento 11 novembre 2024
Tempo di lettura stimato: 8'
Parliamo di Dark pattern, anche se io preferisco il termine Deceptive patterns - tradotto “modello ingannevole” - perché lo trovo più adeguato. È una cosa che mi interessa tantissimo perché è un'evoluzione che va al di là dell'applicazione leguleia delle norme. Bene. Di cosa stiamo parlando? Definiamo il campo di gioco. 

Cosa sono i Dark patterns? 

I Dark pattern sono comportamenti che, quando costruiamo le nostre applicazioni – i siti web, le App, le piattaforme… - ci permettono di vedere il lato oscuro dell'interessato. Che sostanzialmente è questo qui: 

 
I Deceptive patterns, infatti, ci permettono di acquisire consensi e informazioni in maniera non lineare. In che modo? Ce lo spiega l’EDPB (European Data Protection Board) nelle sue linee guida. Hai presente le pratiche illecite individuate dai Garanti? Bene. L’argomento è quello. I Dark/Deceptive pattern sono delle pratiche che traggono in inganno l’utente per portarlo a dare il suo consenso. Vediamoli uno per uno. 

Tipi di Dark o Deceptive pattern: Overloading, Skipping, Stirring, Obstructing, Flickle e Left in the dark

I nomi scelti a me piacciono tantissimo. Sono molto coreografici. C’è quello che ti ricorda lo scivolo dell’acquapark, quello che sembra un mix tra un videogioco degli anni ’90 (forse te lo ricordi, Alone in the dark, dove entravi in una casa stregata, c’erano i mostri, non sapevi come uscirne… hai presente?) e il labirinto del Minotauro. Bellissimi. Allora, adesso li vediamo uno per uno. 

Il primo è l’Overloading

Overloading: li “stendi” con una vagonata tale di informazioni che si arrendono in un nano secondo

Tradotto in italiano, l’overloading è un sovraccarico di informazioni e di istruzioni che può provocare il blocco del sistema.

Hai presente il computer quando c’è poca linea e vuoi visualizzare un’immagine che pesa come un tir canadese che trasporta tronchi d’albero? Ecco. La sensazione che l’utente prova quando si trova di fronte a un Dark pattern del tipo overloading è più o meno quella… Un po’ come l’autista del tir che cerca di superare una curva sterrata in salita con un rimorchio di N tonnellate di legno… 

Per intenderci, è un pattern di questo tipo, per esempio, un’informativa chilometrica.
Perché certe volte le web agency – ma non solo loro, anche gli uffici legali – danno quelle belle informative lunghe 18 pagine… Hai presente?

18 pagine. 
Abbiamo l'attenzione di un criceto che gira nella ruota e tu mi fai leggere 18 pagine?

Overloading è: ti carico. Ti dico: siamo belli, siamo grandi, siamo super strutturati, facciamo qui, facciamo sopra, facciamo sotto... Ti carico di così tante informazioni nella mia interfaccia, nel percorso che stai facendo, che tu prendi la trebisonda e dici: "Oh vabbè, la solita informativa… Vabbè dai!" La scorri fondo in fondo. Vai avanti. Vai avanti. Vai avanti, perché non ne puoi più. E alla fine non leggi niente. 

Questa è una tecnica di Deceptive pattern, perché si sta mettendo in piedi un comportamento che non è proprio corretto.... Anzi, forse è anche sanzionabile?

Bene. Passiamo al secondo tipo: lo skipping.

Skipping: vruuuuuuum! Li fai scivolare fino in fondo in un attimo senza che capiscano niente

Skipping vuol dire saltare, passare oltre, saltare la corda. 
Io me lo immagino come uno scivolone, quello degli acquapark, hai presente? A forma di serpente, con tutte le curve… Ti siedi, ti dai la spinta e fai 20 metri in 3 nanosecondi. Non ti ricordi chi sei, come ti chiami, dove ti trovi. Ti alzi in piedi con l’acqua che ti esce dalle orecchie e il costume incastrato nelle parti intime. Ecco quella è la sensazione che ti dà lo skipping. 

Dal punto di vista della costruzione digitale, è quel Dark pattern che sembra uno scivolo: ti infili dall’inizio e poi arrivi in fondo in 30 secondi. Non hai capito niente. Non sai niente. Ti sei infilato in un tubo e ne sei uscito. 

Skipping è quando vuoi avere più informazioni su come vengono trattati i tuoi dati. Sposti un dito, clicchi col mouse e vruuuuum! Arrivi alla fine e leggi: “Accetta”. 
Allora tu dici: “Oh, bene, sono arrivato alla fine. Cosa faccio? Torno indietro? Ma no, dai… sono già in fondo allo scivolo… arrivo alla fine.” E quindi accetti. 

Stirring: li incanti come le Sirene che chiamavano Ulisse…

Stirring: è un'altra tecnica. In italiano si traduce con stuzzicare, eccitare, stimolare. A me ricorda le Sirene che chiamavano Ulisse nell’Odissea. Hai presente? “Vieni Ulisse… guarda come siamo belle… Vieni che ci divertiamo…” 

Funziona così: costruisco un’interfaccia fighissima che blandisce l’utente, fa appello alle sue emozioni, alle sollecitazioni visive.

Per esempio, con me funzionerebbe benissimo l’interfaccia che si accorge che sono un uomo a cui piacciono le donne – ma potrei essere un uomo a cui piacciono gli uomini e andrebbe benissimo uguale – e inizia a blandirmi come una Sirena: “Andrea, clicca ok… Entra sul mio sito... guarda come sono bella…” E mi fa vedere immagini, colori, roba del genere. Un po' come YouPorn. Dove non guardi cosa ci sta scritto ma clicchi Avanti, Avanti, Avanti perché vuoi vedere e andare al sodo.”

Bene, se siamo influenzati da un'interfaccia che fa appello alle nostre emozioni, a sollecitazioni visive eccetera, l'EDPB e il Garante dicono: questo è Stirring. Potrebbe essere un Dark pattern, un comportamento non adeguato. Comunque, da attenzionare. 

Obstructing: li fai diventare di gomma a forza di spingere tasti che non funzionano 

Obstructing vuol dire ostacolare. È il comportamento dell’interfaccia per cui clicchi un tasto e quello non funziona o ti dà l'errore. Clicchi da un'altra parte e vrrrrrrr! funziona tutto e volutamente – ma spesso anche drammaticamente non volutamente… - l’interfaccia del portale, dell'App, del sito, del social network, ti blocca quando vorresti riuscire ad avere maggiori informazioni e sapere più cose su come vengono trattati i tuoi dati. 

Flickle: gli utenti accettano senza capire quali siano le finalità 

Flickle vuol dire volubile, instabile, incostante. È quel Dark pattern in cui l’utente acconsente a un trattamento, di cui però non è chiara la finalità, perché l’interfaccia è costruita così bene che la persona è portata ad acconsentire
Questa a me, per esempio, suona molto come i giornali che dicono: o accetti i cookie o ti abboni. A me va benissimo che il giornale dica: “Io produco informazioni. Le mie informazioni mi costano sudore, sangue, fatica e assicurazioni. Quindi, se le vuoi leggere, paghi e ti abboni, se no a ssòreta!” 

Va benissimo.
Ma non va bene dire: “Se le vuoi gratis, basta che accetti i cookies…” 

Eh no! Fammi un contratto! 
“Vuoi accedere gratuitamente? Registrati. Tieni, questo è il contratto per accedere gratuitamente, dopo che hai avuto accesso, io ti permetto di vedere le notizie. Per contro, il corrispettivo è: a fronte del fatto che tu le vedi, io utilizzerò certi tipi di sistemi.” 

Mettimelo in un contratto. Non c'è niente di male. Io accetto. 

Left in the dark: l’utente brancola nel buio

Left in the dark. Sembra il titolo di un film. In italiano vuol dire lasciato al buio. Prima c’è la luce, poi, clic, sei perso nelle tenebre e non sai da che parte girarti…

Di solito, nel mondo dei Dark pattern, è la situazione in cui l’interfaccia è un esempio di incompetenza assoluta. Non si capisce dove devi cliccare, c’è la X per chiudere, accetta, non accetta… Quelle robe fatte male non volutamente - e certe volte anche volutamente… - che l’utente non riesce a capire cosa sta facendo, né perché.

Posso non accettare?

Sì, no... Boh! Non si capisce.

Bene, questi sono comportamenti, a logica di cose, sanzionabili. 
Sanzionabili perché? 
Sicuramente per una problematica privacy-by-design.

Il GDPR e l’approccio anglosassone

Spesso, nel caso dei Deceptive patterns, le sanzioni del Garante partono dall'articolo 5 del GDPR. Che è giusto eh, io non sto mica dicendo che sia sbagliato! Però, stiamo attenti. Perché se mi si dice che ho sbagliato l'interfaccia, perché ho fatto il bottone di rifiuto in verde e non in rosso e quindi ti sto turlupinando e mi sanzioni ai sensi dell'articolo 5, parliamone!

Capisco l'autorità Garante che si trova davanti una serie di fenomeni che per due dati e un numero di telefono, vendono la mamma. E sto parlando di web agency, content creators, aziende SEO e Digital, dove l’etica non è proprio così perfetta. Bene. Abbiamo da una parte loro. Abbiamo da una parte gente che non è così a posto e dall’altra, abbiamo l'approccio non anglosassone. Perché c'è quello che dice: "Devi avere l'interfaccia così, devi fare questo..."

E questo va al di là della logica del GDPR. Perché il GDPR non è così. 

Il GDPR ci dice: fai quello che vuoi, io verificherò la tua storia e guarderò se la tua storia è ok, se avevi delle misure di sicurezza, se avevi pensato quello che hai fatto.
Se l'hai pensato e c'è ragionevolezza, per me è ok. 

Non una lista come avevamo nella 196: allegato B "devi fare questo, questo, questo e questo". Non è così il GDPR. Era così la vecchia norma. 

E, allora, tentare di mettere regole aggiuntive perché la situazione è complicata, forse non è la soluzione migliore. O potrebbe scappare di mano. Perché l'Autorità deve dare una direzione, deve aiutare l'utente a capire che "Guarda che stai cliccando su della roba che l'ha scritta o un minus sapiens o un truffatore. Sta attento!"

Oppure alle aziende: "Guarda azienda, se vuoi costruire un percorso, mi va bene. Ma evitiamo che ti arrivi la spadata che ti taglia la testa." 

Definire un obiettivo e arrivarci sapendo quello che si sta facendo

E allora Seneca diceva una frase che a me piace tantissimo. Ogni tanto la ripeto: Ignoranti quem portum petat, nullus suus ventum est.

Tradotto in francese: "Se non sai 'ndo caxxo vuoi andare, non c'è nessun vento che ti possa aiutare."

Cioè, capire qual è il tuo obiettivo - come azienda, come titolare del trattamento - è fondamentale. Dimmi che cosa vuoi fare e perché e insieme troveremo il vento giusto per accompagnarti. Vuol dire riuscire a costruirsi le storie. 

Secondo me non ci dovrebbero essere delle regole che dicono: l'interfaccia deve avere la X in alto, la cosa a destra o a sinistra. 

Io devo costruire una storia che sia giusta, che sia credibile, a fronte di quello che voglio fare. Qual è il mio obiettivo? Uno dei miei obiettivi è: voglio recuperare informazioni in maniera corretta, per proporti i miei prodotti e servizi. Sottolineo: lo voglio fare in maniera corretta. 

Come farlo? 
A chi affidarsi per agire correttamente? 
Quale strada seguire? 

Ne parlo nel prossimo articolo.  
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy