Dark pattern

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

In informatica, un dark pattern o modello oscuro (inteso come malevole, cattivo), noto anche come modello di progettazione ingannevole (deceptive design in inglese) è un'interfaccia utente che è stata accuratamente studiata e realizzata per indurre gli utenti a compiere azioni indesiderate e svantaggiose per loro, come acquistare un'assicurazione troppo costosa o iscriversi a servizi in abbonamento non voluti.[1][2][3]

Il progettista dell'esperienza utente Harry Brignull ha coniato il neologismo dark pattern il 28 luglio 2010 con la registrazione del dominio darkpatterns.org, una "libreria di pattern con l'obiettivo specifico di individuare e svergognare interfacce utente ingannevoli".[4][5][6]

Nel 2021 la Electronic Frontier Foundation e Consumer Reports hanno aperto agli utenti la possibilità di segnalare per poter raccogliere informazioni sui modelli oscuri.[7]

Descrizione di alcuni modelli

[modifica | modifica wikitesto]

Privacy Zuckering

[modifica | modifica wikitesto]

"Privacy Zuckering" – dal nome del co-fondatore di Facebook e CEO di Meta Platforms Mark Zuckerberg – è una pratica che induce l'utente a condividere più informazioni di quelle che intendeva.[8] Gli utenti possono rinunciare alla riservatezza di queste informazioni senza accorgersene, oppure non compiendo le azioni concepite per rendere difficoltosa o ritardare la possibilità di rinunciare alla condivisione delle proprie informazioni private. La California ha approvato regolamenti che limitano questa pratica da parte delle aziende nel California Consumer Privacy Act.[9]

Per quanto riguarda l'Europa, l'adozione del regolamento generale sulla protezione dei dati (GDPR) prevede, all'art. 25, l'introduzione dei concetti di privacy by design e privacy by default, che prevedono, rispettivamente, che il software e la sua interfaccia debbano garantire la privacy dell'utente sin dal momento della sua progettazione, e in ogni caso con le opzioni di configurazione selezionate in modo predefinito per garantire la massima privacy[10].

Bait-and-switch

[modifica | modifica wikitesto]

I modelli esca-con-cambio (Bait-and-switch in inglese) pubblicizzano un prodotto o servizio gratuito (o a un prezzo notevolmente ridotto) che in realtà non è disponibile oppure lo è in quantità molto ridotte (utilizzato quindi solo come esca). Dopo aver annunciato l'indisponibilità del prodotto desiderato, la pagina presenta prodotti simili a prezzo superiore o di qualità inferiore.[11][12]

Confirmshaming

[modifica | modifica wikitesto]

La conferma imbarazzante (Confirmshaming in inglese) usa la risposta emotiva per indurre gli utenti a provare vergogna nel compiere, ovvero confermare, l'azione di rifiuto. Ad esempio, quando un sito web mostra un'opzione per rifiutare l'iscrizione ad una newsletter via e-mail in un modo tale da spingere i visitatori ad accettare anziché rifiutare, per esempio prospettando la possibilità che rifiutando il fornitore potrebbe non essere più in grado di continuare a offrire il servizio richiesto in quanto da tale iscrizione dipende in parte il suo sostentamento.[12][13]

Tecnica comunemente impiegata nei software di installazione di altre applicazioni (installer), il depistaggio (misdirection in inglese) presenta all'utente un pulsante simile a un tipico pulsante di avanzamento dell'installazione, ma l'inganno consiste nel mostrare all'utente un pulsante "Accetto questi termini" in primo piano con lo scopo di chiedergli di accettare i termini di un programma diverso e non correlato a quello che stava tentando di installare. Poiché l'utente in genere accetta i termini per forza d'abitudine, il programma "intruso" viene installato insieme a quello principale che invece era l'unico che l'utente desiderava ottenere con quell'installer.

Gli autori dell'installer lo hanno progettato in questo modo in quanto vengono pagati dagli autori del programma non correlato/estraneo per ogni installazione che effettuano per conto loro. Il percorso alternativo previsto dall'installer, che consente all'utente di evitare l'installazione del programma indesiderato, è visualizzato in modo molto meno evidente,[14] o sembra controintuitivo (come rifiutare i termini di servizio).

Anche alcuni siti web, quando richiedono informazioni non necessarie, utilizzano il depistaggio. Ad esempio, si inserisce un nome utente e una password su una pagina e, dopo aver fatto clic sul pulsante "Avanti", la pagina successiva chiede all'utente il proprio indirizzo e-mail con un altro pulsante "Avanti" come unica opzione.[15] In questo modo viene nascosta all'utente la possibilità di premere "avanti" potendo accedere ugualmente al servizio anche senza dover inserire le ulteriori informazioni, come l'indirizzo email.

In alcuni casi, la pagina mostra il metodo per saltare il passaggio come un piccolo link in grigio anziché come un pulsante, in modo che non risulti evidente per l'utente.[16] Altri esempi includono siti che offrono un modo per invitare amici inserendo il loro indirizzo e-mail, per caricare un'immagine del profilo o per identificare interessi personali a scopo di profilazione.

Possono anche essere utilizzate formulazioni confuse per indurre gli utenti ad accettare formalmente un'opzione che secondo loro aveva il significato opposto, ad esempio un consenso al trattamento dei dati personali presentato con una casella di controllo con la dicitura "non vendere le mie informazioni personali" abbinato ad un pulsante "Conferma" o "Accetta": gli utenti selezionando la casella e premendo il pulsante pensavano di negare il trattamento di tutti i propri dati personali riservati mentre invece vi hanno acconsentito, con la sola eccezione della vendita di essi.[17]

Un motel di scarafaggi (roach motel in inglese) o una progettazione a modello rete da pesca fornisce un percorso facile o diretto per entrare (nel servizio) ma un percorso difficile per uscirne.[18] Gli esempi includono aziende che richiedono agli abbonati di stampare e spedire per posta ordinaria cartacea la loro richiesta di rinuncia o cancellazione ad un servizio per l'iscrizione al quale bastava un semplice click.[11]

Di recente, negli Stati Uniti, la Federal Trade Commission (FTC) ha annunciato che aumenterà il controllo contro l'applicazione di modelli oscuri come il roach motel che inducono i consumatori a sottoscrivere abbonamenti e/o ne rendono difficile la cancellazione. La FTC ha stabilito requisiti chiave relativi alla trasparenza e alla chiarezza delle informazioni, al consenso informato espresso e alla cancellazione semplice e facile.[19]

Sneak into basket

[modifica | modifica wikitesto]

L'intrufolarsi nel cestino (sneak into basket in inglese) è l'aggiunta di prodotti o servizi non richiesti, oltre a quelli che sono stati scelti, nella lista finale dei prodotti selezionati per l'acquisto, detta carrello o cestino (basket in inglese), in analogia al contenitore con cui si raccolgono i prodotti da acquistare in un negozio fisico. Questo è avvenuto grazie alla preselezione di caselle di controllo che l'utente avrebbe dovuto deselezionare nelle pagine precedenti affinché i prodotti non richiesti non venissero aggiunti al carrello (negative billing option). Questa tecnica è diventata illegale nel Regno Unito e in molti Paesi dell'Unione europea.[8]

I costi nascosti (hidden costs in inglese) sono quelli che non appaiono mai durante tutto il processo di scelta dei prodotti o dei servizi da acquistare (tipicamente da un sito di e-commerce, di prenotazione voli, hotel, noleggio veicoli e anche combinazioni fra queste), ma solo nell'ultima pagina del pagamento finale con il riepilogo dei prodotti o servizi acquistati (checkout), e solo dopo aver inserito tutti i dati del metodo di pagamento e i dati personali (ad esempio le spese di spedizione, di servizio, le commissioni, tasse supplementari ecc.). L'utente può essere indotto a confermare l'acquisto con i costi nascosti per non dover tornare indietro nelle pagine precedenti e modificare le proprie scelte, ricompilando nuovamente tutti i dati con notevole ulteriore perdita di tempo e impegno o ricominciare dall'inizio il processo di acquisto presso un altro sito.[8]

Nel 2016 e nel 2017[20] la ricerca ha documentato pratiche anti-privacy sui social media che utilizzano modelli oscuri.[21] Nel 2018 il Norwegian Consumer Council (Forbrukerrådet) ha pubblicato "Deceived by Design", un rapporto sui design ingannevoli dell'interfaccia utente di Facebook, Google e Microsoft.[22] Uno studio del 2019 ha esaminato le pratiche su 11000 siti web di shopping, identificando 1818 modelli oscuri in totale e li ha raggruppati in 15 categorie.[23]

Una ricerca dell'aprile 2022 rileva che i modelli oscuri sono ancora comunemente utilizzati sul mercato, evidenziando la necessità di un ulteriore controllo di tali pratiche da parte del pubblico, dei ricercatori e delle autorità di regolamentazione.[24]

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea, tutte le aziende devono ottenere un consenso libero e inequivocabile dai clienti prima di raccogliere e utilizzare ("elaborare") le loro informazioni di identificazione personale.

Uno studio del 2020 ha rilevato che le aziende "big tech" spesso utilizzavano interfacce utente ingannevoli per scoraggiare i propri utenti dall'opt-out.[25] Nel 2022 un rapporto della Commissione europea ha rilevato che "il 97% dei siti Web e delle app più popolari utilizzati dai consumatori dell'UE ha implementato almeno un modello oscuro".[26]

Bait-and-switch è una forma di frode che viola la legge statunitense. Nell'Unione europea, il GDPR richiede che il consenso informato di un utente al trattamento delle proprie informazioni personali sia inequivocabile, dato liberamente e specifico per ogni utilizzo delle informazioni personali. Questo ha lo scopo di impedire che gli utenti accettino inconsapevolmente tutto il trattamento dei dati per impostazione predefinita (che viola il regolamento).[27][28][29][30][31]

Nell'aprile 2019, l'Information Commissioner's Office (ICO) del Regno Unito ha emesso una proposta di codice di progettazione per le operazioni dei servizi di social networking quando utilizzati da minori, che vieta l'uso di "nudge" per attirare gli utenti in opzioni con impostazioni di privacy basse. Questo codice sarebbe applicabile ai sensi del GDPR.[32]

Il 9 aprile 2019, i senatori statunitensi Deb Fischer e Mark Warner hanno introdotto il Deceptive Experiences To Online Users Reduction (DETOUR) Act, che renderebbe illegale per le aziende con più di 100 milioni di utenti attivi mensili l'utilizzo di modelli oscuri quando cercano il consenso per utilizzare le loro informazioni personali.[33]

Nel marzo 2021, la California ha adottato emendamenti al California Consumer Privacy Act, che vieta l'uso di interfacce utente ingannevoli che hanno "l'effetto sostanziale di sovvertire o compromettere la scelta di un consumatore di rinunciare".[17]

Nell'ottobre 2021, la Federal Trade Commission ha rilasciato una dichiarazione sulla politica di applicazione, annunciando un giro di vite nei confronti delle aziende che utilizzano modelli oscuri che "ingannano o intrappolano i consumatori nei servizi in abbonamento". A seguito dell'aumento del numero di reclami, l'agenzia sta rispondendo applicando queste leggi sulla protezione dei consumatori.[19]

Secondo il Comitato europeo per la protezione dei dati, il "principio del trattamento leale di cui all'articolo 5, paragrafo 1, lettera a) del GDPR funge da punto di partenza per valutare se un modello di progettazione costituisca effettivamente un 'dark pattern'".[34]

Nel 2022, il procuratore generale di New York Letitia James ha multato Fareportal di 2,6 milioni di dollari per aver utilizzato tattiche di marketing ingannevoli per vendere biglietti aerei e camere d'albergo[35] e la Corte federale australiana ha multato Trivago di Expedia Group per 44,7 milioni di dollari per aver indotto i consumatori a pagare prezzi più alti per le prenotazioni delle camere di albergo.[36]

  1. ^ (EN) The Year Dark Patterns Won, su fastcompany.com, 8 novembre 2020. URL consultato il 26 dicembre 2022 (archiviato l'8 novembre 2020).
  2. ^ (EN) Natasha Singer, When Websites Won’t Take No for an Answer, in The New York Times, 14 maggio 2016.
  3. ^ (EN) Dark Patterns: The Ways Websites Trick Us Into Giving Up Our Privacy, su Gizmodo, 28 aprile 2017.
  4. ^ (EN) Harry Brignull, Dark Patterns: Deception vs. Honesty in UI Design, su A List Apart, 1º novembre 2011.
  5. ^ (EN) Ars Staff, Dark Patterns are designed to trick you (and they’re all over the Web), su Ars Technica, 28 luglio 2016.
  6. ^ (EN) Sidney Fussell, The Endless, Invisible Persuasion Tactics of the Internet, su The Atlantic, 2 agosto 2019.
  7. ^ (EN) Press Release, Coalition Launches ‘Dark Patterns’ Tip Line to Expose Deceptive Technology Design, su Electronic Frontier Foundation, 19 maggio 2021.
  8. ^ a b c (EN) Deceptive design - Types of deceptive design, su deceptive.design.
  9. ^ (EN) Attorney General Becerra Announces Approval of Additional Regulations That Empower Data Privacy Under the California Consumer Privacy Act, su State of California - Department of Justice - Office of the Attorney General, 15 marzo 2021.
  10. ^ Data Protection by Design e Data Protection by Default, su www.garanteprivacy.it. URL consultato l'8 maggio 2023.
  11. ^ a b Dark Patterns in UI and Website Design, su Web Design Envato Tuts+. URL consultato il 26 dicembre 2022 (archiviato dall'url originale il 26 dicembre 2022).
  12. ^ a b (EN) Deceptive Design - user interfaces crafted to trick you, su deceptive.design.
  13. ^ (EN) UX Dark Patterns: Manipulinks and Confirmshaming, su UX Booth.
  14. ^ (EN) SourceForge's new Installer bundles program downloads with adware - gHacks Tech News, su gHacks Technology News, 17 luglio 2013.
  15. ^ bleachypeachy, Why do we need email addresses to create Reddit accounts now?, su reddit.com, 21 settembre 2017.
  16. ^ (EN) Dan Schlosser, LinkedIn Dark Patterns, su Medium, 9 giugno 2015.
  17. ^ a b (EN) James Vincent, California bans ‘dark patterns’ that trick users into giving away their personal data, su The Verge, 16 marzo 2021.
  18. ^ (EN) Harry Brignull, Dark Patterns: inside the interfaces designed to trick you, su The Verge, 29 agosto 2013.
  19. ^ a b (EN) FTC to Ramp up Enforcement against Illegal Dark Patterns that Trick or Trap Consumers into Subscriptions, su Federal Trade Commission, 28 ottobre 2021.
  20. ^ Christoph Bösch, Benjamin Erb e Frank Kargl, Tales from the Dark Side: Privacy Dark Strategies and Privacy Dark Patterns, in Proceedings on Privacy Enhancing Technologies, 2016, DOI:10.1515/popets-2016-0038.
  21. ^ (EN) Lothar Fritsch, Privacy dark patterns in identity management, Gesellschaft für Informatik, Bonn, 2017, ISBN 978-3-88579-671-8.
  22. ^ Report: Deceived by design : Forbrukerrådet, su web.archive.org, 19 settembre 2022. URL consultato il 26 dicembre 2022 (archiviato dall'url originale il 19 settembre 2022).
  23. ^ Arunesh Mathur, Gunes Acar e Michael J. Friedman, Dark Patterns at Scale, in Proceedings of the ACM on Human-Computer Interaction, vol. 3, CSCW, 7 novembre 2019, pp. 1–32, DOI:10.1145/3359183.
  24. ^ (EN) Julian Runge, "Dark patterns" in online services: a motivating study and agenda for future research, 14 aprile 2022, DOI:10.1007/s11002-022-09629-4, ISSN 1573-059X (WC · ACNP).
  25. ^ (EN) Soheil Human e Florian Cech, A Human-Centric Perspective on Digital Consenting: The Case of GAFAM, in Alfred Zimmermann, Robert J. Howlett, Lakhmi C. Jain (a cura di), Human Centred Intelligent Systems, Springer, 2021, pp. 139–159, DOI:10.1007/978-981-15-5784-2_12.
  26. ^ Directorate-General for Justice and Consumers (European Commission), Francisco Lupiáñez-Villanueva e Alba Boluda, Behavioural study on unfair commercial practices in the digital environment: dark patterns and manipulative personalisation : final report, Publications Office of the European Union, 2022, DOI:10.2838/859030, ISBN 978-92-76-52316-1.
  27. ^ Understanding 'trust' and 'consent' are the real keys to embracing GDPR, su The Drum.
  28. ^ (EN) Russell Brandom, Facebook and Google hit with $8.8 billion in lawsuits on day one of GDPR, su The Verge, 25 maggio 2018.
  29. ^ (EN) Max Schrems files first cases under GDPR against Facebook and Google, su The Irish Times.
  30. ^ (EN) Natasha Lomas, Facebook, Google face first GDPR complaints over 'forced consent', su TechCrunch, 25 maggio 2018.
  31. ^ (EN) Google, Facebook hit with serious GDPR complaints: Others will be soon, su ZDNET.
  32. ^ (EN) Under-18s face 'like' and 'streaks' limits on social media, in BBC News, 15 aprile 2019.
  33. ^ (EN) Makena Kelly, Big Tech’s ‘dark patterns’ could be outlawed under new Senate bill, su The Verge, 9 aprile 2019.
  34. ^ Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them (PDF), su European Data Protection Board.
  35. ^ Investigation by LETITIA JAMES, Attorney General of the State of New York, of FAREPORTAL INC (PDF), su ag.ny.gov.
  36. ^ (EN) Australia fines Expedia Group's Trivago $33 million on misleading hotel room rates, su au.finance.yahoo.com.

Voci correlate

[modifica | modifica wikitesto]

Collegamenti esterni

[modifica | modifica wikitesto]