Google Ha Revocato il Divieto di Fingerprinting: Cosa Devono Sapere gli Sviluppatori

A febbraio 2025, Google ha silenziosamente aggiornato le proprie policy pubblicitarie per consentire il fingerprinting dei dispositivi — la stessa tecnica che aveva pubblicamente condannato come "sbagliata" nel 2019. La modifica è entrata in vigore il 16 febbraio 2025 e ha conseguenze significative per chiunque costruisca analytics, gestisca una proprietà web o si basi sull'infrastruttura pubblicitaria di Google.

Cos'è davvero il fingerprinting

Il device fingerprinting è la pratica di combinare molteplici segnali passivi da un browser o dispositivo per costruire un identificatore persistente. Nessun cookie viene impostato. Nessuna voce di localStorage viene scritta. L'utente non viene mai interrogato. I segnali utilizzati includono:

• Indirizzo IP e metadati di rete
• Sistema operativo e versione del browser
• Risoluzione dello schermo e profondità di colore
• Font installati e codec disponibili
• Lingua, fuso orario e stato della batteria

Individualmente, nessuno di questi è un identificatore univoco. Combinati, producono un fingerprint abbastanza accurato da re-identificare lo stesso dispositivo attraverso le sessioni, anche dopo la cancellazione dei cookie e anche in modalità di navigazione privata. A differenza dei cookie, non esiste un meccanismo per consentire all'utente di eliminare un fingerprint.

Cosa diceva la policy di Google — e cosa è cambiato

La posizione di Google del 2019 era esplicita: il fingerprinting "sovverte la scelta dell'utente ed è sbagliato" perché opera al di fuori dei controlli di privacy standard del browser. La policy proibiva agli inserzionisti di usare il fingerprinting nei prodotti pubblicitari di Google.

L'aggiornamento di febbraio 2025 ha rimosso quel divieto. La presentazione di Google era procedurale — l'aggiornamento è stato descritto come una routinaria revisione delle policy — ma la sostanza era un'inversione. Gli inserzionisti possono ora usare identificatori a livello di dispositivo inclusi indirizzo IP, dimensione dello schermo, fuso orario, stato della batteria e stringhe user agent per il targeting e la misurazione senza alcun obbligo di ottenere il consenso dell'utente o di divulgare la pratica.

La reazione delle autorità di regolamentazione

L'Information Commissioner's Office del Regno Unito ha risposto immediatamente. Stephen Almond, direttore esecutivo del rischio normativo dell'ICO, ha definito la mossa "irresponsabile" e ha chiarito la posizione regolatoria: il fingerprinting è soggetto agli stessi requisiti di consenso dei cookie ai sensi del PECR (le Privacy and Electronic Communications Regulations).

Il ragionamento dell'ICO è tecnicamente preciso. Il PECR definisce un trigger di consenso come "archiviare informazioni, o accedere a informazioni archiviate, su un dispositivo". Il fingerprinting accede a informazioni dal dispositivo — legge valori dall'ambiente del browser — il che significa che il requisito di consenso si applica indipendentemente dal fatto che venga scritto un file cookie. Ciò che conta è il meccanismo di accesso, non il formato di persistenza.

Ai sensi del GDPR, gli stessi interessati che possono richiedere la cancellazione di un profilo basato sui cookie non hanno alcun meccanismo comparabile per un profilo derivato da fingerprint. Non puoi cancellare un fingerprint da un server che non controlli. Questo crea un'asimmetria che le autorità di regolamentazione nell'UE e nel Regno Unito stanno esaminando attivamente.

Perché conta per il tuo stack di analytics

Se il tuo sito carica i tag pubblicitari di Google — incluso gtag.js di GA4 quando collegato a Google Ads — i tuoi visitatori sono ora soggetti a fingerprinting secondo una policy che non richiede il loro consenso. Il tag GA4 stesso pesa circa 45 KB e fa molteplici richieste in uscita; con la modifica del fingerprinting, quelle richieste possono ora trasportare identificatori persistenti derivati dal dispositivo verso l'infrastruttura di Google.

Per gli sviluppatori che operano sotto il GDPR, la conseguenza pratica è che distribuire i tag di Google senza un meccanismo di consenso è sempre più difficile da difendere. L'ICO ha dichiarato che il fingerprinting "presenta un'asticella alta da raggiungere" nei quadri esistenti — un segnale che le azioni coercitive contro gli editori che abilitano il tracking basato su fingerprinting sono un rischio realistico nel breve termine.

C'è una seconda conseguenza, più sottile: la qualità dei dati. Il fingerprinting inietta identificatori non consentiti nelle pipeline di analytics. Se stai usando lo stack di misurazione di Google, una frazione dei tuoi dati di attribuzione deriva ora da segnali passivi del dispositivo piuttosto che da eventi consentiti. Le due popolazioni — consentite e con fingerprint — non sono equivalenti, e mescolarle senza etichettarle degrada l'affidabilità delle tue metriche.

Il contrasto con la raccolta dati senza fingerprint

Un approccio di analytics che non esegue alcun fingerprinting evita strutturalmente questi problemi. Il tracker di Monoid invia un singolo POST a /collect senza segnali a livello di dispositivo oltre a una famiglia di browser approssimativa e a un tipo di dispositivo derivati lato server dal normale User-Agent della richiesta. Nessun IP memorizzato. Nessuna enumerazione di font. Nessuna risoluzione schermo. Nessun identificatore cross-session.

L'hash giornaliero del visitatore — SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD) — usa IP e user agent solo in memoria, li scarta immediatamente e produce un valore che si reimposta ogni 24 ore. Questo è l'opposto di un fingerprint: non può persistere attraverso le sessioni, non può essere correlato attraverso i giorni e non può essere usato per re-identificare uno specifico dispositivo.

Secondo l'analisi dell'ICO, questo approccio non attiva i requisiti di consenso PECR, perché non accede a informazioni memorizzate sul dispositivo e non produce un identificatore persistente. Il caso giuridico e tecnico per questo approccio si è solo rafforzato da febbraio 2025.

Cosa verificare ora

Se stai eseguendo tag di analytics o pubblicitari sul tuo sito, vale la pena rispondere immediatamente a tre domande:

1. Questo tag accede a segnali a livello di dispositivo (font, batteria, risoluzione schermo)?
2. Invia quei segnali a un server di terze parti?
3. Hai documentato una base giuridica — consenso o legittimo interesse — per quel trasferimento?

Il cambio di policy di Google non modifica i tuoi obblighi giuridici; cambia ciò che Google permette ai suoi inserzionisti di fare. GDPR e PECR richiedono ancora una base giuridica per il trattamento, trasparenza nell'informativa sulla privacy e — laddove la base è il consenso — un meccanismo per gli utenti per negarlo e revocarlo.

Il percorso più semplice per superare tutto questo è non raccogliere innanzitutto dati derivati da fingerprinting. Uno strumento che non tocca mai segnali a livello di dispositivo non ha alcuna esposizione all'incertezza normativa che circonda il fingerprinting, indipendentemente da come si evolveranno le policy di Google.