Design ingannevole nei siti web: pubblicati i risultati dell’analisi del Garante per la protezione dei dati personali. Ancora troppi ostacoli per gli utenti

Design ingannevole nei siti web: i risultati di Privacy Sweep

Per prima cosa, è utile un pò di contesto: Privacy Sweep è un’indagine conoscitiva avviata dal Global Privacy Enforcement network (GPEN), una rete internazionale che comprende più di 60 authority in 39 diverse giurisdizioni. Nato nel 2010, GPEN ha dato corpo ad una Raccomandazione dell’OCSE che invitava i paesi membri a promuovere reti, anche informali, di cooperazione e collaborazione tra authority per la privacy e parti interessate.

GPEN ha deciso di avviare una indagine conoscitiva, programmata tra il 29 Gennaio e il 2 Febbraio 2024, finalizzata a verificare la presenza e diffusione di modelli di design ingannevole (i cosiddetti Dark pattern) in siti web e app.

Per quanto riguarda l’Italia, il nostro Garante per la Protezione dei dati personali ha deciso di concentrarsi sui siti web.

Dark pattern: che cosa sono e perché sono un problema per le Autorità Garanti Privacy

Iniziamo dalle definizioni, in particolare da quella del Garante per la Protezione dei dati personali:

“Con la definizione di “modelli di progettazione ingannevoli” vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Detti anche Dark Pattern, i modelli di progettazione ingannevoli mirano dunque a influenzare il nostro comportamento e possono ostacolare la capacità di proteggere efficacemente i nostri dati personali.”

In breve i Dark Pattern sono “trucchetti” che alcune aziende decidono di utilizzare per condizionare il comportamento degli utenti, facendo compiere loro azioni sfavorevoli senza consapevolezza.

L’EDPB, Comitato Europeo per la Protezione dei dati, ha pubblicato una lista di 6 diverse categorie di Dark pattern, che rimandano ad un design ingannevole del sito web:

  • Overloading: il sito web bombarda gli utenti di richiese, opzioni e possibilità. Lo scopo è solo quello di indurli a condividere dati anche in assenza di consapevolezza;
  • Skipping: il sito web cerca in ogni modo di influenzare le scelte degli utenti inducendoli a mettere in secondo piano la propria privacy;
  • Stirring: il sito web sfrutta le emozioni dell’utente (paura, senso di urgenza, preoccupazione ecc…) per indurlo a compiere azioni poco lucide;
  • Left in the dark: il sito web utilizza interfacce pensate per nascondere informazioni / gli strumenti di controllo per gli utenti (chi tratta i dati? Come esercitare i propri diritti ecc…)
  • Obstructing: il sito web ostacola apertamente l’accesso degli utenti alle informazioni sul trattamento dei dati.
  • Fickle: l’interfaccia del sito web è volutamente confusionaria. Il sito web è costruito allo scopo di non far capire agli utenti la vera finalità dei trattamenti dati in essere.

Per approfondire > Dark Pattern: cosa sono e quali limiti impone il GDPR

Design ingannevole nei siti web: i risultati dell’indagine conoscitiva

Fatte le dovute premesse, arriviamo ai dati. Qui, anzitutto, è possibile consultare i risultati completi.

Nell’ambito del Privacy Sweep 26 diverse authority hanno analizzato 899 siti web e 111 app. Il primo dati è allarmante: nel 97% dei casi hanno individuato la presenza di almeno una delle 6 tipologie di design ingannevole. Le autorità hanno verificato, in particolare:

  • l’uso di linguaggio complesso e confuso nelle informative cookie e privacy;
  • l’inserimento di molteplici passaggi aggiuntivi, ma non necessari;
  • la presenza di elementi di design per influenzare la percezione delle opzioni privacy;
  • la richiesta di informazioni eccedenti le necessità per accedere al servizio reso.

L’analisi del Garante Privacy italiano sui siti web

Il Garante italiano ha concentrato l’attenzione su una specifica tipologia di siti web, ovvero quelli che comparano i prezzi di prodotti e servizi. In particolare:

  • il funzionamento del cookie banner;
  • le modalità di cancellazione degli account utente.

Nel 60% dei casi, il cookie banner enfatizzava solo le opzioni meno favorevoli alla privacy degli utenti. Nel 40% dei casi l’utente, per rifiutare una opzione, si trova costretti ad eseguire più azioni inutili. Ancora più grave il fatto che, nel 30% dei casi, l’unica opzione mostrata sia quella dell’accettazione dei cookie.

Per quanto riguarda, invece, la cancellazione degli account nella maggior parte dei casi il Garante si è imbattuto in percorsi tortuosi in assenza di una specifica funzionalità di cancellazione. Questa, quando presente, è risultata nascosta dietro molteplici passaggi. In molti casi, il sito web mostra messaggi volti a dissuadere l’utente dal cancellare il proprio account.



Per noi di Acconsento.click la privacy degli utenti è importante, così come il business dei nostri clienti: sappiamo bene quanto i dati siano importanti per verificare e analizzare performance e trend. Adottando il framework TCF v.2.2 di IAB abbiamo equilibrato queste due esigenze. Per questo Acconsento.click è una CMP certificata da Google.

Richiedi ai nostri esperti, senza impegno, di valutare la conformità del tuo sito web