L’inizio più giusto per questo pezzo è sicuramente questo: “Ho visto cose che voi umani…”! Era infatti da tanto tempo che non mi dedicavo a temi come il tracciamento e le profilazioni di massa in quella giungla che è il mercato pubblicitario online, ma ora che tengo questo blog credo sia giusto tornarci sopra, per spiegare bene a voi che non lo sapete come funziona davvero questo mercato alla deriva e senza scrupoli. E anche per rendervi attenti su quali e quanti dati vostri finiscano nella rete, e anche nella rete di chi. Per dimostrarvi che ho ragione, ragione sul fatto che la grande maggioranza di voi non abbia nessuna idea di cosa avvenga davvero quando si visita un sito Internet con pubblicità, chiedo chi tra voi ha mai sentito parlare di Real‑Time Bidding (RTB)? Visto che avevo ragione?!
Il Real‑Time Bidding (RTB)
Prima di addentrarci insieme nella meravigliosa catena di eventi che si scatenano nel nostro browser quando apriamo un sito con la pubblicità, parliamo un secondo di quello che è il fulcro dell’ecosistema pubblicitario di Internet, cioè, appunto, il Real‑Time Bidding (RTB). Cosa è? È il cuore del tracciamento moderno, ed è ciò che trasforma ogni pagina web in un mercato istantaneo dove il prodotto è l’utente. Ora vi spiego…
Quando si apre un sito che integra la pubblicità, come sono ad esempio i portali di news, l’occhio vede solo la pagina caricarsi, ma dietro a questo succedono tante cose: il browser scarica l’HTML del sito; trova spazi pubblicitari vuoti; per ogni spazio, invia una bid request (richiesta d’asta) a una piattaforma pubblicitaria; la piattaforma inoltra la richiesta a decine o centinaia di aziende pubblicitarie; parte un’asta istantanea; vince chi paga di più per mostrare l’annuncio; il banner viene caricato; il profilo dell’utente viene aggiornato e sincronizzato. E tutto questo avviene in uno o due decimi di secondo!
Cosa contiene la “bid request”? Una bid request può includere dei dati tecnici, come l’indirizzo IP, il tipo di dispositivo, il sistema operativo, il browser usato, la risoluzione dello schermo, la lingua, il fuso orario e persino la velocità di connessione. Poi ci sono i dati comportamentali: il sito che si sta visitando, la pagina specifica, il tempo trascorso, gli scroll e le interazioni precedenti con quel sito. Poi i dati pubblicitari: l’ID pubblicitario (cookie o identificatore equivalente), le categorie di interesse dedotte, lo storico di navigazione ricostruito e i segmenti di mercato (es. “interessato a tecnologia”, “probabile genitore”, “alto reddito”). Infine, ci sono i dati sensibili (in teoria vietati, in pratica spesso dedotti), quindi lo stato di salute, l’orientamento politico, la religione, l’orientamento sessuale, e le condizioni economiche. La bid request è, di fatto, un mini‑curriculum del comportamento online dell’utente.
Dunque, chi riceve questi dati? Parliamo di decine o addirittura centinaia di aziende, che contemporaneamente ricevono questi dati per fare l’offerta d’asta e che questi dati li ricevono anche se l’asta non la vincono! L’asta serve infatti per aggiudicarsi l’annuncio, ma il nostro “dossier digitale” viene ricevuto da tutti quanti.
Ma non finisce qui, perché dopo che l’annuncio è stato mostrato, altre cose succedono dietro le quinte: ogni azienda vuole sapere se l’utente è lo stesso visto altrove, così si scambia gli ID con altre aziende tramite redirect invisibili. Inoltre, il banner può contenere pixel di tracking, script, iframe, richieste verso altri domini e ogni elemento è un punto di raccolta dati. Così, infine, il “dossier digitale” dell’utente viene aggiornato e arricchito con elementi tipo “ha letto un articolo di politica”, “ha scrollato fino in fondo”, “ha cliccato su un link”, “ha ignorato l’annuncio”…
Come viene costruita e gestita la nostra identità “commerciale” sulla rete?
Ogni grande piattaforma assegna un proprio ID: quando si naviga non esiste un unico ID universale valido per tutta la rete, ma ne esistono invece tanti diversi, uno per ogni attore che esegue il tracciamento. Google Ads assegna un suo ID, Google Analytics un altro, Facebook/Meta Pixel un altro ancora e così per ogni piattaforma e per ogni broker di dati o rete RTB. Il risultato è che l’utente è una collezione di ID.
Ma allora, come fanno a capire che si tratta sempre dello stesso utente? Qui entra in gioco la parte più sofisticata: la sincronizzazione degli ID. Funziona così: Google assegna un ID (es. GA12345), Criteo assegna un altro ID (es. CRIT-9988); quando si carica un banner, Google e Criteo si scambiano informazioni tramite redirect invisibili: Google dice a Criteo: “Il mio GA12345 corrisponde al tuo CRIT-9988” e Criteo aggiorna il suo profilo. Altri attori fanno lo stesso. Così, in pochi millisecondi, tutti sanno che l’utente è la stessa persona, anche se usa ID diversi. È come se ogni azienda avesse un soprannome diverso per ogni utente, ma si mettessero d’accordo per sapere che si riferiscono alla stessa persona.
Quindi è vero che l’ID pubblicitario non è univoco, ma è persistente. Non esiste un “codice fiscale digitale” universale, ma esiste un sistema di identificazione che riconosce l’utente su più siti, lo segue nel tempo, collega i suoi comportamenti, aggiorna continuamente il suo profilo e sopravvive anche se si cancellano i cookie (grazie al fingerprinting, cioè “l’impronta gitiale” del browser). Quindi, anche se tecnicamente l’utente no ha un ID unico globale, di fatto è riconoscibile come individuo unico.
Quindi, in pratica, ogni utente ha un ID pubblicitario? Sì, in pratica sì. Non uno solo, ma molti, però tutti collegati tra loro. Un ID che non è scelto dall’utente, non è trasparente, non è sotto il suo controllo, non è limitato al sito che sta visitando e viene condiviso con decine di aziende tramite RTB. Parliamo del cuore del tracciamento moderno, ma so che molti di voi non ne hanno mai sentito parlare. Oserei dire, per ovvi motivi.
Esempio realistico di “dossier digitale” dopo anni di navigazione
Con l’aiuto dell’IA ho costruito quello che potrebbe essere un “dossier digitale” molto realistico di un utente dopo anni di navigazione… Immaginate un utente chiamato “User_4587A”. Questo non è il suo nome: è il suo ID pubblicitario. Dietro quell’ID, dopo anni, il sistema ha costruito un profilo che potrebbe assomigliare a questo.
1. Identità tecnica
– Dispositivo principale: MacBook Pro 14″
– Secondo dispositivo: iPhone 13
– Browser: Safari + Chrome
– Risoluzione schermo: 3024×1964
– Fuso orario: CET
– Velocità connessione: alta
– Indirizzo IP ricorrente: zona Ticino
– Probabilità che sia la stessa persona su più dispositivi: 92%
2. Localizzazione e routine
– Area geografica abituale: Ticino
– Luoghi frequenti: casa, lavoro, due bar, un supermercato
– Orari di attività online: 7:00–8:30, 12:00–13:00, 20:30–23:00
– Giorni più attivi: lunedì e giovedì
– Probabilità che lavori in ambito tecnico: 78%
– Probabilità che abbia un reddito medio-alto: 65%
Questi dati derivano da IP, orari, siti visitati, pattern di utilizzo.
3. Interessi principali (dedotti)
– Tecnologia e informatica
– Musica (jazz, strumenti, gear)
– Politica e attualità
– Fotografia
– Viaggi brevi in Europa
– Prodotti Apple
– Sicurezza digitale
– Auto elettriche
– Cibo e cucina casalinga
– Libri e saggistica
(Questi interessi vengono dedotti da siti visitati, tempo di permanenza, scroll, video guardati, articoli letti fino in fondo, ricerche e interazioni con annunci)
4. Comportamento d’acquisto
– Categoria più acquistata: elettronica
– Budget medio per acquisto tech: 300–800 CHF
– Probabilità di acquistare dopo aver visto un annuncio: 12%
– Preferenza per recensioni lunghe e comparative
– Tendenza a confrontare prezzi su più siti
– Propensione a comprare in sconto
– Probabilità di acquistare prodotti premium: 60%
– Ultimi acquisti dedotti: cuffie, hard disk, software, libri
(Queste informazioni derivano da pixel di conversione, tracciamento cross‑site, sincronizzazione degli ID, dati di e‑commerce integrati nelle reti pubblicitarie
5. Profilo psicografico (sì, esiste davvero)
Le piattaforme non si limitano a sapere cosa fa l’utente, ma cercano di capire chi sia.
Esempio di categorie:
– “Early adopter”
– “Utente ad alto coinvolgimento”
– “Ricercatore di informazioni”
– “Attento alla privacy”
– “Probabile lavoratore autonomo”
– “Interessi culturali elevati”
– “Bassa impulsività negli acquisti”
– “Alta fedeltà ai brand preferiti”
Queste categorie vengono create da modelli predittivi.
6. Media e contenuti consumati
– Tipi di articoli letti: tecnologia, politica, cultura
– Tempo medio di lettura: 2–4 minuti
– Video guardati: recensioni tech, documentari brevi
– Podcast ascoltati: tecnologia, attualità
– Piattaforme preferite: YouTube, siti di news, blog tecnici
7. Cronologia dedotta (non letta, ma ricostruita)
Le reti pubblicitarie non leggono la cronologia del browser, ma la ricostruiscono tramite:
– cookie di terze parti
– fingerprinting
– pixel
– RTB
– login ai servizi
Risultato: un elenco di categorie di siti visitati, tipo:
– news
– tecnologia
– e‑commerce
– social
– banche
– servizi pubblici
– streaming
– blog di nicchia
Non sanno tutto, ma sanno abbastanza.
8. Previsioni sul comportamento futuro
L’IA predice:
– probabilità che cambi smartphone nei prossimi 6 mesi
– probabilità che acquisti un nuovo computer
– probabilità che prenoti un viaggio
– probabilità che clicchi su un annuncio tech
– probabilità che ignori banner generici
– probabilità che tu sia sensibile a offerte personalizzate
Queste previsioni guidano le offerte nelle aste RTB.
9. Dati sensibili (dedotti, non dichiarati)
Le piattaforme non possono raccogliere dati sensibili dichiarati, ma possono dedurli:
– fascia di reddito
– livello di istruzione
– orientamento politico
– stato familiare
– età approssimativa
– stato di salute (indizi, non diagnosi)
– interessi culturali
– stile di vita
Queste deduzioni sono spesso molto accurate.
Dopo anni di navigazione, le reti pubblicitarie non sanno il nome dell’utente (forse!), ma sanno quasi tutto il resto: chi è, cosa gli interessa, cosa compra, quanto spende, dove vive, quando naviga, come si muove online e persino cosa potrebbe fare domani. Non hanno la sua identità anagrafica (forse!), ma hanno la sua identità comportamentale, che per il mercato vale molto di più.
E qui in Ticino, chi rispetta di più la tua privacy?
Giusto per divertirmi ho fatto finta di essere Patti Chiari e ho analizzato il comportamento di tre siti ticinesi più o meno a caso: cdt.ch; tio.ch e ticinonews.ch. Chi è il più invasivo? Chi rispetta di più la nostra privacy?
Tramite quasi tutti i browser o con l’aiuto di un ad-block, si può avere un report molto dettagliato di cosa faccia esattamente una pagina web quando la si apre. Ho dunque raccolto queste informazioni per tutti e tre i siti e lo ho fatte analizzare dall’IA, chiedendogli una tabella comparativa. Mi ha fatto particolarmente ridere come l’IA stessa abbia definito Ticinonline riguardo al tracciamento legato alla pubblicità: “Mattia, questo log è un presepe vivente del tracciamento moderno. Se cdt.ch era un albero di Natale, tio.ch è l’intero villaggio di Babbo Natale con renne, elfi, slitte, luminarie e un centro commerciale attaccato”.
E comunque, senza approfondire troppo, ma promettendovi che se vi interessa lo farò (scrivetemi!), vi riporto la tabella comparativa, consigliandovi di usare Ticinonews, il portale meno invasivo dei tre!
Insomma, la pubblicità online non sparirà, ma possiamo pretendere che rispetti chi la guarda. E forse, iniziando a parlarne, qualcosa cambierà.