I dark pattern, letteralmente “percorsi oscuri”, sono tecniche di UX design attraverso cui si condiziona l’utente affinché svolga un’azione che molto probabilmente non avrebbe svolto.
Nel nostro ambito legale questa tecnica assume rilevanza soprattutto per quanto riguarda l’acquisizione del consenso attraverso il cookie banner: sappiamo che il consenso deve essere libero, e l’uso di questa tecnica viola il rispetto di questo principio.
Ecco perché il legal design assume un ruolo fondamentale per il rispetto del GDPR.
Ma non solo: i dark patterns spesso violano anche le normative a tutela dei consumatori per quanto riguarda la vendita online.
Leggi l’articolo e verifica se il tuo sito web utilizza i dark pattern, perché in tal caso è a rischio di sanzioni!
CONTENUTO DELL'ARTICOLO
Cosa sono i dark pattern
Guarda il video
Per spiegare cosa sono i dark patterno, o modelli di progettazione ingannevole, partiamo con un esempio:
Nell’ambito del design dell’esperienza utente (User Experience Design), che governa la strutturazione di siti web e applicazioni, l’obiettivo principale è rendere la navigazione intuitiva e piacevole. Un esempio quotidiano è l’impiego del simbolo “X” per facilitare la chiusura di documenti o applicazioni. Tuttavia, l’effetto prodotto dal colore che circonda questa “X”, sia esso rosso o verde, può influenzare in modo significativo l’attenzione dell’utente. Questa manipolazione sottile è uno degli esempi di ciò che viene definito “dark pattern”.
I dark pattern, però, non si limitano alla sola scelta di design grafico. Si estendono anche al linguaggio utilizzato, come nel caso delle formulazioni adottate per scoraggiare l’utente dalla disiscrizione da una newsletter, spesso progettate per indurre un senso di colpa. Questi stratagemmi mirano a orientare le decisioni dell’utente in modo poco trasparente.
Un’indagine internazionale condotta nel 2019 ha messo in luce che, su 5.000 notifiche relative alla privacy esaminate presso varie entità in Europa, il 54% faceva affidamento sui dark pattern. Questo dato evidenzia quanto diffusa sia la pratica di impiegare tattiche psicologiche per influenzare le scelte degli utenti, sollevando questioni etiche riguardanti la trasparenza e il consenso nell’era digitale.
Quando si inizia a parlare di dark pattern?
Harry Brignull, un ricercatore sull’esperienza utente con sede nel Regno Unito, ha coniato l’espressione “dark pattern”.
Con il boom dell’e-commerce, attorno al 2010, si è iniziato ad adottare pratiche discutibili che utilizzano il design per ingannare o manipolare gli acquirenti. Brignull ha notato la tendenza ad applicare “un’interfaccia utente che è stata accuratamente realizzata per indurre gli utenti a fare acquisti di cross-selling, come sottoscrivere un’assicurazione con un acquisto, o iscriversi ad abbonamenti di acquisti periodici invece che una tantum”. Tuttavia, i meccanismi che stanno dietro i dark pattern non sono nuovi. Si basano su pratiche commerciali non etiche e spesso illegali che sono state utilizzate per decenni offline.
I dark pattern assumono varie forme e sono più che semplici elementi visivi fuorvianti.
Il termine dark pattern si applica anche quando su un sito o su un’app si utilizza un linguaggio confuso, come la doppia negazione. Oppure quando si nasconde il prezzo intero di un prodotto o servizio (che sappiamo essere vietato dalle normative e-commerce), o si omettono informazioni chiave su un prodotto.
Dark pattern e GDPR
Ma cosa succede se qualcuno applica questo linguaggio per indurti a dare un consenso che altrimenti, forse, non daresti? Fai clic su sì anziché su no perché il pulsante sì era più in evidenza sul banner. Oppure fai clic su continua perché altrimenti dovresti navigare tra più pagine prima di raggiungere il contenuto che ti interessa.
E se quel sì significasse che accetti di condividere i dati personali?
Spesso i brand utilizzano i dark pattern per spingere gli utenti a condividere i dati personali a fini marketing. Sappiamo che la base giuridica per il trattamento dei dati a fini marketing e di profilazione, è il consenso. Uno dei requisiti del consenso è che per essere valido deve essere libero, requisito il cui rispetto viene messo a rischio dall’uso della tecnica del dark pattern.
La pervasività dei dark pattern attraverso le interfacce web non è indifferente ai legislatori.
Sebbene non ci sia una definizione universalmente accettata di dark pattern, le normative privacy ci possono dare indicazioni in merito. Il CCPA, ad esempio, definisce il “percorso oscuro” come “un’interfaccia utente progettata o manipolata con l’effetto sostanziale di sovvertire o compromettere l’autonomia, il processo decisionale o la scelta dell’utente“.
Il Regolamento generale sulla protezione dei dati affronta il problema senza dare una definizione di questa pratica, ma prevedendo obblighi di progettazione dei siti web, affinché l’utente non sia manipolato nelle sue scelte.
Corso sulla Privacy e Gdpr
24 lezioni teoriche e pratiche sul Gdpr
Con questo corso potrai imparare, tra l’altro:
- Tutti gli aspetti fondamentali del R.U. 679/2016
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il nostro corso esclusivo su tutto quello che ti serve sapere gestire la privacy sui tuoi asset digitali in modo legale ma anche performante al fine di evitare multe salate e problemi con gli utenti e clienti.
I principi del GDPR che vietano l’uso di dark pattern
Non c’è una disposizione del regolamento europeo che definisce e vieta l’uso del dark pattern.
I principi che tutelano l’interessato al trattamento rispetto all’uso di queste tecniche manipolative sono:
- principio di accountability a carico del titolare del trattamento;
- obbligo di correttezza;
- privacy by design e privacy by default.
Dai principi del GDPR, in particolare dall’art. 32 che stabilisce che “il silenzio, le caselle pre-barrate o l’inattività non dovrebbero quindi costituire consenso“, si deducono i requisiti della cookie policy, e del cookie banner:
- obbligo di non preselezionare le caselle di spunta;
- il divieto di utilizzo del cookie wall;
- possibile utilizzo della X per chiudere il cookie banner a patto che venga spiegato cosa comporta questa chiusura;
- utilizzo di un copy semplice e breve.
Tuttavia sappiamo che il GDPR non bastava per definire tutte queste regole, ed è intervenuto, per l’Italia, il Garante con le linee guida del 2021.
Uno studio condotto a livello europeo, dimostra che su 560 siti analizzati, ben il 47 % utilizza la tecnica del dark pattern., inserendo consensi preselezionati, mentre il 37% non ha l’opzione “rifiuta tutti”. In altri casi è richiesto uno sforzo maggiore per rifiutare i cookie rispetto ad accettarli.
Tutte queste tecniche rappresentano l’applicazione di percorsi oscuri di UX design.
Ascolta il podcast
Tipologie di dark pattern
I percorsi oscuri sono pericolosi perché sfruttano i bias cognitivi
o distorsione cognitiva assieme al rumore sono pattern sistematici di deviazione dalla norma o dalla razionalità nei processi mentali di giudizio. In psicologia indica una tendenza a creare la propria realtà soggettiva, non necessariamente corrispondente all’evidenza, sviluppata sulla base dell’interpretazione delle informazioni in possesso, anche se non logicamente o semanticamente connesse tra loro, che porta dunque a un errore di valutazione o a mancanza di oggettività di giudizio.
In sostanza si sfruttano i pregiudizi cognitivi per indurre l’utente a compiere delle azioni. Le tecniche di design attraverso cui si spingono gli utenti ad agire in un certo modo possono variare, quindi non sempre è facile individuarle.
Numerose organizzazioni dei consumatori e specialisti della protezione dei dati effettuano ricerche approfondite sull’uso dei “modelli oscuri”.
Grazie a questi studi si ha una maggior consapevolezza delle forme che possono assumere i dark pattern. Uno degli studi più importanti Deceived by design, che ha identificato 5 tipologie di dark pattern:
#1. Default setting
Le persone difficilmente intervengono sulle impostazioni previste di default. Questo può essere positivo se, ad esempio in base ai principi di privacy by default, sii raccolgono solo i dati necessari alle finalità contrattuali. Ad esempio per i cookie necessari. Mentre i dati ulteriori richiedono un esplicito consenso opt-in. Quindi l’impostazione di default è quella legalmente corretta.
Ma se di default invece si prevede che si raccolgano i dati a fini marketing o profilazione, allora gli utenti sono spinti a cedere i loro dati in modo inconsapevole.
Uno degli esempi che riporta il report è questo:
#2. Facilità: rendere complicato scegliere di mantenere la privacy
Se l’obiettivo è guidare gli utenti in una certa direzione, si rende il processo verso l’opzione opposta un processo lungo e complesso. Ad esempio quando per disiscriversi dalla newsletter si richiede la conferma attraverso 2 o 3 azioni.
#3. Framing: formulazione positiva o negativa
Se conosci le motivazioni dell’utente, puoi sfruttarle a tuo favore, dicendo quali sono i benefici di una determinata scelta e omettendone i lati negativi.
Il report riporta il caso di Facebook quando, con un popup, consigliava di attivare il riconoscimento facciale. Pratica poi bloccata:
Facebook si concentra sui lati positivi della condivisione dei dati. Il riconoscimento facciale comporta l’elaborazione di dati biometrici, che sono considerati, dal GDPR, una categoria speciale di dati personali, e richiede un distinto ed esplicito consenso al trattamento. Facendo clic sul popup del GDPR di Facebook, agli utenti è stato chiesto se acconsentono all’uso del riconoscimento facciale. Nel popup compare la scritta: il riconoscimento facciale serve ad aiutarti a proteggerti dagli estranei che usano la tua foto” e “a informare le persone con disabilità visive che sono presenti in una foto o in un video”. La schermata successiva informava l’utente “se tieni il riconoscimento facciale disattivato, noi non saremo in grado di allertarti se un estraneo ruba la tua foto per creare un account fake. Se qualcuno inserisce sui social una foto in cui ci sei anche tu, non lo saprai a meno che tu non sia taggato”.
Questa formula ha spinto gli utenti verso una scelta, visto che la scelta alternativa sarebbe stata pericolosa per la propria privacy.
#4. Premi e penalizzazioni
Al fine di invogliare gli utenti a fare determinate scelte, esiste una strategia molto comune di utilizzare incentivi per premiare la scelta “corretta” e penalizzare le scelte che il fornitore di servizi ritiene indesiderabili.
Come esempio viene riportato sempre il caso Facebook: quando o si accettavano determinate condizioni o, se si rifiutavano, sarebbe stato cancellato l’account sui social. Chi cancella l’account sul social dopo tutte le informazioni che ha condiviso?
Le due scelte alternative non erano certo sullo stesso piano.
#5. Scelta forzata dalla timeline
Spesso gli utenti si connettono sulle app dei social quando sono in viaggio o comunque sono di fretta. Sappiamo che la velocità di dare informazioni, e la scelta del momento giusto per fornirle, sono cruciali quando si parla di comunicazione sul web.
Quando gli utenti ricevevano per la prima volta il popup GDPR di Facebook, avevano due opzioni: cliccare su “Inizia” oppure potevano cliccare sulla X nell’angolo, per chiudere il popup. Cliccando sulla X si apriva un altro popup che diceva: “È necessario completare la revisione di queste impostazioni per continuare a utilizzare Facebook”. Facendo capire che per utilizzare Facebook era necessario scegliere. Gli utenti potevano in realtà posticipare la scelta. Il popup si apriva nel momento in cui l’utente voleva entrare sul social dall’app. Pertanto, l’unica scelta sembrava essere fare clic su “inizia”.
Guida gratuita GDPR
39 pagine formative gratuite sul GDPR
SFOGLIA L’ANTEPRIMA
Una Guida esclusiva di 39 pagine per adeguarti al GDPR, evitare sanzioni e aumentare le tue performance legali.
Lo strumento gratuito migliore per affacciarsi al mondo del GDPR!
Dark pattern e legal design: le linee guida dell’EDPB
I dark pattern rappresentano una preoccupazione tanto grave al punto da spingere l’European Data Protection Board a fare chiarezza sul tema.
Infatti dopo varie pronunce che condannano l’uso di questa tecnica – pensiamo ad esempio alla sanzione emessa dall’AGCOM nel 2018 nei confronti di Facebook per pratiche commerciali scorrette – non si è visto un grande miglioramento. Probabilmente le sanzioni non sono un deterrente sufficiente per far cessare questa pratica.
Le linee guida emesse dall’EDPB nel marzo del 2022 si intitolano “Dark patterns in social media platform interfaces: How to recognise and avoid them”: come riconoscere ed evitare i dark pattern sui social media.
Sebbene il documento abbia come oggetto i social media, sarebbe limitante non estenderne i principi a tutte le altre casistiche, cookie banner in primis.
Le linee guida si rivolgono a tutti i soggetti coinvolti nel legal design, quella disciplina il cui scopo è mettere l’utente al centro, a partire dalla progettazione del sito web.
Il legal design riguarda non solo l’avvocato che si occupa dell’aspetto legale del sito, ma anche il web designer, psicologi che devono intervenire nella progettazione dei template utilizzati dai gestori di siti web, digital marketers.
Le indicazioni sui dark patterns delle linee guida dell’EDPB
Le linee guida dell’EDPB definiscono i dark patterns come:
interfacce utente e comunque le tipologie di UX (User Experience) implementate su piattaforme di social media, quando portano gli utenti a prendere decisioni non intenzionali, involontarie e potenzialmente dannose in merito ai loro dati personali; mirano a influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali, oltre che di fare scelte consapevoli.
Nel documento l’autorità delinea 6 tipologie di dark pattern (ricordiamo che non sono definitive), inquadrate in base al comportamento che inducono a compiere:
- Overloading: sovrabbondanza di richieste
- Skipping: invito a saltare
- Stirring: condizionare le scelte
- Hindering: ostacolare nel processo di gestione dei dati
- Fickle: design dell’interfaccia poco coerente e poco chiaro
- Left in the dark: l’interfaccia è progettata per tenere nascoste determinate informazioni sulla data protection.
Il documento precisa che l’elenco non è esaustivo, ed è accompagnato da numerosi esempi concreti.
L’EDPB illustra poi quali sono le best practice per adempiere all’obbligo del rispetto del legal design. Principio che deve essere rispettato durante tutto il ciclo di vita del dato, quindi anche nel momento di richiesta di disiscrizione da una lista.
Si precisa inoltre che, contrariamente a ciò che si potrebbe pensare, non è necessaria la volontà del titolare del trattamento di mettere in atto il modello oscuro, ossia il dolo. Basta una condotta colpevole, in coerenza con il principio di responsabilizzazione.
Se da un lato queste linee guida sono rivolte al titolare del trattamento, dall’altra sono un’ottima fonte di educazione del consumatore.
Queste pratiche, pur illegali, non cessano di esistere, probabilmente perché sono efficaci. Con una corretta educazione e sensibilizzazione dei consumatori a non farsi condizionare, forse se ne disincentiverebbe l’uso.
Legal for Digital adotta il legal design sia nel rapporto con i propri clienti, sia nella messa a norma dei siti web.
Il tuo sito web è conforme alle linee guida dell’EDPB?
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 18 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, già componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie, Founder Legal for Digital studio dell'anno per il Sole 24 Ore e Corriere della Sera
⚖️ Strategia di lead generation a norma di GDPR
11 Dicembre 2021Lead generation e profilazione sono gli strumenti che hanno rivoluzionato il marketing, permettendo di far arrivare il messaggio giusto alle persone giuste.Finché il GDPR ha posto un freno sia alle modalità di raccolta contatti, sia alla profilazione dei contatti stessi.
Leggi altro
⚖️ Diritto all’oblio GDPR, cos’è e come si esercita
31 Maggio 2021Il diritto all’oblio nacque negli anni Settanta del secolo scorso, in un’epoca in cui Internet non era nemmeno un pensiero, ed è stato necessario aggiornare la legislazione attraverso il GDPR per contestualizzarlo in un’epoca in cui il web è la fonte principale di informazione.
In questo articolo vediamo che cos’è il diritto all’oblio, cosa è cambiato con l’avvento del GDPR e cosa prevede l’articolo n°17.
Leggi altro
Privacy officer, chi è e quando occorre nominarlo
1 Febbraio 2024Il privacy officer, detto anche responsabile privacy dell’azienda o privacy manager, è una figura professionale nominata dalle imprese per garantire che il trattamento dei dati personali sia conforme al GDPR.
Leggi altro