Quante aziende accedono ai miei dati personali (in particolare ai dati di navigazione), quando apro un sito? La risposta a questa domanda è ovviamente “dipende” e il piggybacking è uno dei motivi per il quale non c’è una risposta unica.
Nel video di questa quarta puntata di questa serie dedicata all’analisi dei tag dei 50 siti più popolari in Italia, vediamo:
- La classifica dei 50 siti più popolari in Italia, in funzione del numero totale di tag rilevato dopo un’analisi automatica di 100 pagine pubbliche
- Cos’è il piggybacking, ovvero come i tag che inseriamo sui nostri siti sono talvolta (spesso) dei cavalli di Troia
- Il punto di vista dei siti per adulti e i tag di PornHub che utilizza strumenti interessantissimi per i marketer (soprattutto per quelli, come me, focalizzati sui dati).
Come anticipato nel video che trovi alla fine di questo articolo, qui sotto trovi tutti i dati generati da TagInspector, lo strumento utilizzato per l’analisi automatica.
In particolare:
- Il file excel con tutti i dati estratti direttamente da TagInspector (download)
- I dati elaborati in SQL Server (download):
- Il backup del database in formato SQL Server 2014
- Lo script T-SQL per la creazione del database da script (dovrebbe essere compatibile anche con MySql)
- Uno script con alcune query che ho creato per l’analisi
Chi vede i miei dati personali?
Ad ogni tag inserito sul sito web, spesso corrisponde un’azienda diversa (talvolta, come nel caso di Google, più tag possono fare capo alla stessa azienda).
L’analisi effettuata tramite TagInspector, ha analizzato in particolare al più 100 pagine pubbliche per ognuno dei 50 siti siti analizzati. Con “pagine pubbliche” intendo quelle accessibili senza inserire username e password.
Non di tutti sono state analizzate 100 pagine quindi. Complessivamente sono state analizzate 2390 pagine e sono stati rilevati 327 tag diversi (ti ricordo che tag, pixel o tracker sono sinonimi in questo contesto, come racconto nella prima puntata) .
Non si può dire che i 327 tag facciano capo a 327 diverse aziende, ma l’ordine di grandezza è quello.
Il tag più diffuso è “Google Universal Analytics (analytics.js)” rilevato su 39 siti e 2013 pagine
E Google è presente in ben 6 delle prime 10 posizioni. Ecco la top 10 (per numero di pagine):
- [GOOGLE] Google Universal Analytics (analytics.js) (30 siti, 2013 pagine)
- [GOOGLE] DoubleClick (35/1346)
- [GOOGLE] Google Web Font (28/1150)
- [COMSCORE] ScorecardResearch (20/1136)
- [NIELSEN] Nielsen Online (17/1142)
- [GOOGLE] Google Ads Remarketing (33/1029)
- [GOOGLE] Google AdSense (20/968)
- [FACEBOOK] Facebook Pixel (24/919)
- [GOOGLE] Google Tag Manager (22/826)
- [XANDR] AppNexus (28/812)
Il piggybacking
E veniamo al titolo di questo articolo e all’informazione che probabilmente stavi cercando.
Partiamo dalla definizione di questa strana parola. Cosa significa piggybacking? Seguendo il famoso detto: “un’immagine vale più di mille parole“, ecco cosa compare su un sito come Freepik, (sito dal quale puoi scaricare immagini) quando effettui una ricerca per il termine piggybacking.
Chiaro no? È esattamente questo… salire a spalle di qualcun altro. Ma cosa c’entra questo con i pixel di tracciamento?
Anche se sembra strano, in realtà il paragone ha senso.
Quando noi inseriamo un pixel di tracciamento sul nostro sito, stiamo inserendo esattamente quel pixel e nient’altro. Nella realtà quello che può capitare – non con tutti, ma devo dire con moltissimi pixel – è che questo, a sua volta, ne andrà ad inserire altri sul nostro sito.
È un po’ come se sulle spalle del pixel che inseriamo fossero presenti anche altri tag (ricorda che pixel, tracker o tag sono sinonimi in questo contesto)… e questo può verificarsi lungo una catena anche lunghissima, come ti mostro nel video (che trovi alla fine di questo articolo) e come puoi vedere nel frame che riporto qui sotto.
Piggybacking e privacy policy
Ma come si fa a gestire la privacy policy (e la cookie policy) se ogni tag può potenzialmente inserirne altre decine? La risposta – confermata anche durante l’intervista con iubenda – è che il titolare del sito è responsabile solo per i tag che sono inseriti direttamente sul sito. Qui se vuoi approfondire ti suggerisco di dare un’occhiata al video della puntata.
E PornHub?
Per quanto riguarda PornHub, abbiamo visto che contiene solo 6 tag (solo rispetto agli oltre 100 di altri siti). Di questi, 4 sono di Google e gli altri due sono TrafficJunky e MixPanel.
La società TrafficJunky Inc. è stata fondata a Montreal in Canada nel 2008. Non ho trovato relazioni di proprietà tra TrafficJunky e PornHub, ma non significa che non ci siano (non sono riuscito a fare ricerche approfondite… se conosci qualche altra informazione, fammelo sapere, così posso integrare l’articolo)
MixPanel invece ha diverse sedi sparse nel mondo. Nel documento di privacy policy si fa riferimento a “Mixpanel International, Inc., Mixpanel S.L., Mixpanel UK Limited, and Mixpanel APAC Pte. Ltd.”. Non ho approfondito su quale sia la capofila… questo è un altro genere di ricerca che per ora lascio in sospeso.
In generale quindi, quando navighiamo su un sito, anche quando questo ha pochi tag, raramente i nostri dati (in particolare i dati di navigazione) rimangono confinati nell’azienda che gestisce quel sito. Il più delle volte assistiamo ad un trasferimento dati verso paesi terzi.
Non solo quindi i miei dati personali possono essere trasferiti ad altre aziende dello stesso paese, ma possono arrivare anche in altri paesi o continenti. Dipende dalla sede dell’azienda alla quale fa capo il tag che acquisisce i nostri dati.
I nostri dati viaggiano, in molte aziende diverse.
Il video della puntata
E per concludere l’articolo, ecco il video di questa puntata
Inviami eventuali domande, condividi l’articolo con qualcuno a cui pensi possa interessare e linkalo nel tuo blog se ne hai uno.
