Ormai lo sappiamo bene. I cookie, i famosi e famigerati “biscotti” del web, sono diventati uno degli incubi più ricorrenti per webmaster, webcopy e, soprattutto, utenti dopo l’entrata in vigore nei mesi scorsi del Regolamento UE 2016/679, cioè del GDPR in materia di sicurezza e trattamento dei dati personali.
Tuttavia, in pochi sanno esattamente di che cosa si tratta. Anche in questo caso, vige la regola universale per la quale, una volta conosciuto, il nemico fa meno paura di prima. Cerchiamo allora di capirci meglio e, stiamone certi, usciremo dalla lettura di questo articolo con un certo sollievo.

Biscotti magici

Proprio di biscotti – letteralmente, dall’inglese cookie – si parla. O meglio, di “biscotto magico” cioè di cose da veri nerd. Il magic cookie era infatti una particolare tecnica usata negli anni Ottanta da chi, usando il sistema operativo UNIX, voleva identificare il percorso di un client, cioè un componente che accede ai servizi o alle risorse di un altro componente, detto server, all’interno di una rete.
In pratica, si trattava di una sorta di metaforico “gettone” (da cui la forma simile ai tipici biscotti anglosassoni), con il quale era possibile capire se chi (o cosa) avesse già avuto accesso a un server e in che modo. Il cookie altro non era che una fiche di identificazione, che il client si prendeva dal server che lo aveva ospitato e si portava con sé: un modo semplice per conservare memoria dei movimenti dei componenti in una rete, cioè tracciarne le effettive relazioni.

Il mio passaporto per il web

Tale funzione è andata ad assumere via via più importanza insieme al crescere della fortuna del web, cioè di quella rete di scambio di informazioni e dati costruita proprio sul sistema di relazione client-server.
Oggi, l’uso più comune di un cookie è quello di memorizzare le informazioni sulle abitudini dell’utente all’interno dei siti web che visita, con tutto ciò che ne deriva in termini di obiettivi per i quali si compie questa “osservazione” e dunque di privacy.
Per semplificare ulteriormente, è come se ognuno di noi, che naviga in rete, avesse un passaporto. A ogni sito che visitiamo, vi viene apposto un timbro. Un timbro che dice tutto: quando accediamo, in che modo (da smartphone, desktop o tablet), da che luogo, quante e quali pagine del sito visitiamo, eccetera. Ogni volta che entriamo in un sito, è come se ci fosse un addetto alla frontiera che esamina il nostro passaporto: controlla i timbri già impressi e aggiunge il proprio.

A ognuno la sua targa

Nello specifico, un cookie è un file di testo alfanumerico di piccole dimensioni che il server, su cui si trova il sito che vogliamo visitare, confeziona e invia al nostro browser appena accediamo a quel sito, insieme alla pagina che visualizziamo. Una stringa di testo, quindi, che passa dal server al nostro computer: da qui, ritorna poi al server del sito, immutata, ogni volta che accediamo nuovamente.
Questa stringa è un codice univoco che identifica la nostra sessione di navigazione al sito, come una targa per un’auto: indica solo e soltanto noi, che in quel preciso momento visitiamo quel preciso sito in quel preciso modo. Può essere modificata unicamente dal server, al mutare delle condizioni della sessione: a ogni nuova richiesta di pagina dal mio browser, il server invierà un nuovo cookie o modificherà quello che mi ha già inviato.

A che pro?

A che cosa serve tutto questo, per noi utenti? A tenere, ad esempio, memoria del nostro carrello della spesa in uno store online. Il carrello altro non è che un insieme di sessioni cioè una serie di cookie, che vengono “ricordati” appena torniamo a quella pagina del sito per procedere con l’ordine. Se non accadesse, dopo il nostro girovagare per lo store rischieremmo di ritrovarci alla cassa con… il carrello di qualcun altro.
Inoltre, i cookie tengono memoria delle credenziali personali ovvero mi evitano la scocciatura di dovermi autenticare ogni volta che accedo ai social, ai miei siti… ovunque ci sia bisogno di entrare con nome utente e password. Lo possono fare poiché “rievocano” l’ultima sessione di navigazione in quel dato sito e quindi superano il momento iniziale dell’autenticazione. E, considerando che oggi username e password servono sempre più frequentemente, non è un servizio da poco.

Lato server, cioè dalla parte di chi gestisce il sito che ci accoglie, questo meccanismo consente di targettizzare con chirurgica precisione gli utenti in arrivo e poter somministrare loro le pubblicità più mirate. Se arrivo io, per esempio, eventuali spazi pubblicitari sul sito eviteranno di mostrarmi scarpe con tacco 12 laccato oro e, più probabilmente, visualizzerò scarponcini da trekking leggeri ma non troppo – che il trail running non fa per me e nemmeno l’arrampicata.

Fatto di non secondaria importanza: l’archivio dei cookie rimane in mio possesso, cioè nella memoria del mio browser. I cookie sono immagazzinati nel client locale dell’utente, l’unico a detenerne la proprietà e a poter decidere della loro sorte. Io sono padrone dei miei cookie e posso cancellarli ogni volta che desidero, senza richiedere alcun intervento o permesso esterno, con buona pace dei marchettari del web. Come posso farlo? Lo vediamo dopo.

Non tutti i biscotti sono uguali

Esistono infatti vari tipi di cookie, con funzioni e caratteristiche ben diverse:

  1. Cookie di sessione: durano quanto la sessione e sono perciò transitori, evanescenti. Accedo un sito e navigo: finché navigo avrò dal server quel o quei cookie. Terminata la navigazione su quel sito, i cookie vengono cancellati, poiché servono unicamente al server per ottimizzare la mia esperienza di client su quel sito e ai software di Digital Analytics per definire le caratteristiche della mia sessione.
  2. Cookie di prime parti: sono i cookie permanenti, che permangono anche dopo il chiudersi della sessione. Differentemente dalla tipologia successiva, sono emessi direttamente dal server su cui si trova il sito e quindi sono legati alla proprietà di questo.
  3. Cookie di terze parti: sono come quelli al punto precedente, ma sono emessi da server diversi da quello che ospita il sito che sto navigando. Sono i cookie che provengono dai server di chi usufruisce degli spazi pubblicitari del sito che navigo: sono questi a memorizzare le mie preferenze, il mio comportamento in rete in termini di marketing. È grazie a questi cookie che vengo targettizzato a puntino e visualizzo scarpe da trekking anziché tacco 12 laccato oro.

Questa ultima tipologia rappresenta l’attuale rovente terreno di dibattito in termini di privacy. Perché si tende spesso ed erroneamente a demonizzare l’uso dei cookie, dimenticando che si tratta in realtà di informazioni non associate ad alcun dato personale o sensibile.

Come funzionano i cookie?

Indipendentemente dal tipo di cookie, il funzionamento è lo stesso.
Compongo l’indirizzo di un sito sul mio browser. Ecco che appare la prima pagina e, insieme a lei, mi arriva subito il cookie del server che ospita il sito.
Ogni volta che da questa pagina passo a un’altra dello stesso sito, il server fa partire un controllo sui cookie che già mi ha inviato e verifica se il cookie relativo esiste già nel mio browser. Se manca, il server prende un file di testo, ci scrive la data e il numero 1, per indicare che si tratta della mia prima visita a quella pagina, ci aggiunge i dati relativi alla pagina e alle modalità di navigazione, e invia il tutto al mio browser. E così via, per qualsiasi pagina io visualizzi.

Facciamo un esempio

La mia barba è un casino. Il rasoio elettrico mi ha abbandonato da quasi due settimane, è il momento di cercare un regola-barba nuovo sul più noto store online. Bene, non pensiamoci più: avvio la ricerca e inizio a visualizzarne una bella lista, dopo qualche minuto individuo quello che fa per me. Prezzo giusto, marca che conoscono e che ritengo affidabile. Ok, ma non lo acquisto subito, decido di tenerlo d’occhio per qualche giorno, magari riesco a trovarlo a un prezzo ancora più conveniente.
In tutto il tempo della ricerca online, il mio browser ha collezionato una serie nutrita di cookie, tanti quante sono le pagine, e i regola-barba, da me visualizzati.
Inevitabilmente, dai minuti successivi, non appena apro le home dei social e inizio a scrollare o navigo sui siti più disparati, ecco che mi compaiono annunci di regola-barba, guarda caso proprio dei tipi che ho visualizzato sullo store. Ecco all’opera, rapidissimi ed efficienti, i cookie di terze parti: grazie ai cookie che porto con me, nel mio browser, dalle precedenti visite allo store, i concessionari di pubblicità mi hanno targettizzato e cercano adesso di convincermi a portare a termine il mio acquisto, somministrandomi annunci mirati.
Questa insistenza mi inquieta e mi fa sentire braccato come una quaglia a inizio stagione venatoria, ma anche un po’ mi stuzzica: in questo modo mi viene proposto un articolo di mio interesse, e ho modo di non perdere l’attenzione sui vari prezzi che ho posso trovare in rete; alla fine, se osservata con il giusto distacco, posso sfruttare a mio vantaggio la targettizzazione chirurgica messa in atto attraverso i miei cookie.

Accade però che un paio di giorni dopo, mentre vago tra gli scaffali del mio supermercato preferito, laggiù in fondo, nel reparto “di tutto un po’”, trovo un regola-barba favoloso, dotato di tutti i gadget, a un prezzo davvero conveniente: scontato solo per chi è socio e soltanto fino al termine di questo mese. Che faccio? Ovviamente lo prendo.
Eccomi tornato a casa, felice con il mio nuovo acquisto davvero conveniente e inaspettato. Apro i social e, di nuovo, annunci di regola-barba infestano i miei feed. Diamine, ma l’ho appena acquistato, non mi interessa più! Come faccio a dirlo a Facebook e compagnia bella?

Le soluzioni sono due: il depistaggio oppure la damnatio memoriae cioè la rimozione dei cookie.
Il depistaggio è semplice. Vado su Amazon o siti equivalenti e mi metto a cercare altri articoli di mio interesse, avviando un semplice e immediato chiodo scaccia chiodo. La targettizzazione attraverso i cookie ha la memoria di un pesce rosso, per fortuna.
La damnatio memoriae è un po’ meno semplice ma più efficace, ed è quello che ci interessa.

Come cancello i miei cookie?

Questa operazione dipende, naturalmente, dal tipo di browser che utilizzo. Ma in sostanza resta la stessa per tutti: cambiano soltanto i nomi delle funzioni, il succo è il medesimo. Dobbiamo intervenire sulla memoria della nostra cronologia e andare a cercare la funzione che regola i cookie.

Vediamo come si procede con Google Chrome, senza dubbio un browser tra i più utilizzati.

Vado sul menù principale, in alto sul mio schermo, e clicco su Cronologia, dopodiché seleziono la terza voce in alto a sinistra, Cancella dati di navigazione.
Adesso compare una piccola finestra nuova in sovraimpressione, in cui ci sono alcune caselle già flaggate. Resto sulla modalità Di base e tolgo la spunta a tutte tranne che a Cookie e altri dati di siti: seleziono solo questa voce e sono pronto per cliccare su Cancella dati. Prima di farlo, però, noto che in cima alla finestra c’è una voce che mi permette di scegliere addirittura l’intervallo di tempo per il quale voglio cancellare i miei cookie. Torniamo all’esempio e stiamo un po’ più larghi, per sicurezza: ho cercato i regola-barba qualche giorno fa, non mi ricordo esattamente quando ma di certo era entro una settimana. Seleziono allora Ultima settimana e il gioco è fatto.

Eccomi di nuovo “vergine”, libero dalla persecuzione dei regola-barba. Un gioco da ragazzi!

C’è una morale in tutto questo?
Sì ed è che, acquisendo il più possibile consapevolezza degli strumenti che utilizziamo, riusciamo a mantenere una libertà di scelta e di azione che può renderci meno passivi ai meccanismi del web e di un certo tipo di marketing. La targettizzazione mirata, resa possibile dai cookie, ha certamente aspetti negativi per l’utente ma anche positivi. L’importante è essere consapevoli di entrambi e agire in base al proprio pensiero e alle proprie necessità.