ReCaptcha Google protegge meglio i siti, ma mette a rischio la privacy

ReCaptcha Google

ReCaptcha di Google serve a rendere più sicuri i siti web e a limitare spam e bot. Ma può analizzare anche le abitudini degli utenti costruendo un profilo di rischio molto preciso.

ReCaptcha funziona decisamente bene e rappresenta un netto passo in avanti rispetto al passato, ma a quanto pare ha un lato B che non è proprio così chiaro e trasparente come potrebbe sembrare. Il funzionamento è semplice, silenzioso e indolore, soprattutto per l'utente che naviga sul sito. Non gli viene più chiesto né di cliccare su una check-box, né di riconoscere immagini con auto, negozi o semafori. In effetti, non gli viene chiesto proprio niente, la verifica viene fatta in sordina dallo script di Google, che analizza le abitudini dell'utente assegnandogli una valutazione di rischio.

Il proprietario del sito potrà monitorare il tutto dalla console di amministrazione di reCaptcha, decidendo,-per esempio, di rimandare a un controllo manuale i commenti o le recensioni di utenti che hanno un punteggio di affidabilità basso. Il tutto a vantaggio sia dell'utente, che non sarà più costretto a perdere tempo in inutili verifiche, sia del proprietario del sito, che può così pulire il traffico da bot, spam e tentativi di frode.

Il "lato oscuro": Google può monitorare ogni spostamento dell'utente

Dov'è il lato negativo? Pare proprio che Google, affamata di dati personali, non abbia chiarito che uso fa di tutto quello che raccoglie sul PC dell'utente. Google infatti invita i webmaster a installare reCaptcha non solo sulle classiche pagine di registrazione o di invio messaggi (form di contatto), ma su tutto il sito.

Secondo Mohamed Akrout, un ricercatore della University of Toronto, Google assegnerebbe un punteggio più basso (quindi migliore) agli utenti che hanno fatto l'accesso con il proprio account nel browser Chrome. Il che è anche logico, visto che chi ha un account Google e un browser dove ha effettuato l'accesso difficilmente sarà un bot.

In ogni caso rimane il fatto che Google stabilisce un legame tra il comportamento online di un utente, se vogliamo più preciso di quello che riesce a fare con altri strumenti, e lo associa all'account di una persona fisica. Sarebbe quindi facile immaginare che se l'utente mette nel carrello un prodotto e poi lo abbandona, Google lo sappia, con tanto di riferimento preciso alla persona. Una cosa da non confondere con il remarketing, che mostra annunci relativi a siti o prodotti già visitati basandosi solo sui cookie presenti sul computer in maniera anonima. Se l'utente cancella i cookie, smetterà di vedere quella pubblicità.

Con l'associazione al profilo, che ribadiamo essere un ipotesi non ancora confermata, Google potrebbe fare remarketing su tutti i dispositivi legati a quell'account. Il che significa che se l'utente guarda un prodotto sul PC, poi potrebbe ricevere la pubblicità relativa a quel prodotto anche sul tablet. Ciò non perché abbia fatto l'accesso con lo stesso account sul sito e sul tablet, ma perché sul sito risiedeva uno script di monitoraggio di cui l'utente non è stato avvisato.

Per Google non c'è nessun problema legato alla privacy, reCaptcha serve solo ad aumentare la sicurezza dei siti. Sarà anche così, ma il pericolo è che venga costruita una banca di dati e profili davvero troppo golosa per essere utilizzata solo a scopi anti-frode.