Indice
- 1 Un sistema occulto di tracciamento aggira Android, VPN e cookie: Meta rischia 32 miliardi di euro di multa
- 2 Una rete invisibile che ha coinvolto migliaia di siti
- 3 Raccolta dati anche senza uso attivo delle app
- 4 Un rischio legale da 32 miliardi di euro per Meta
- 5 Profilazione completa degli utenti e impatto sulla privacy
- 6 La scoperta dei ricercatori e le conseguenze future
Un’indagine condotta da un team internazionale di ricercatori ha svelato un sofisticato meccanismo di tracciamento messo in atto da Meta. Il sistema, ribattezzato “localhost tracking”, permetteva di raccogliere dati personali degli utenti anche quando questi adottavano misure per proteggere la propria privacy, come l’uso di VPN, modalità incognito o il rifiuto dei cookie. Attraverso una combinazione di script browser e app mobili, Meta era in grado di aggirare le barriere di sicurezza imposte dal sistema operativo Android, costruito proprio per impedire la comunicazione tra applicazioni non autorizzate. Il tracciamento avveniva indipendentemente dal comportamento consapevole dell’utente e si basava su canali invisibili e non documentati ufficialmente. Il risultato era un quadro dettagliato delle abitudini online degli utenti, associato alla loro identità reale sui social network.
Una rete invisibile che ha coinvolto migliaia di siti
Meta Pixel e WebRTC usati per bypassare le protezioni
Secondo la ricerca, solo negli Stati Uniti oltre 17.000 siti web utilizzavano il sistema Meta Pixel con questo meccanismo attivo. Nel mondo, il 22% dei portali più visitati risultava coinvolto. Il tracciamento si basava su due componenti: le app di Facebook e Instagram, che attivavano un servizio in background ogni volta che venivano aperte, e gli script dei siti web che comunicavano con queste app attraverso la rete locale del dispositivo.
Quando l’utente visitava un sito con Meta Pixel, veniva attivato il WebRTC, una tecnologia usata solitamente per le videochiamate. Meta ne ha modificato il comportamento attraverso una tecnica chiamata SDP Munging, permettendo allo script di inviare un identificatore chiamato _fbp all’app installata, anche senza che l’utente lo sapesse. Questo identificativo veniva poi associato direttamente all’account reale di Facebook o Instagram dell’utente.
Raccolta dati anche senza uso attivo delle app
Il sistema sfruttava porte di rete locali TCP e UDP per mantenere attivo un canale di ascolto anche dopo la chiusura delle app. Le informazioni raccolte – URL, eventi, metadati – venivano inviate sia localmente all’app che ai server di Meta via internet, in modo parallelo. Il collegamento tra l’identificativo _fbp e i dati dell’account avveniva tramite una mutazione GraphQL, tecnologia usata per trasmettere dati tra client e server. Questo permetteva a Meta di profilare l’utente in modo completo, anche se aveva esplicitamente negato il consenso alla raccolta dei dati.
Un rischio legale da 32 miliardi di euro per Meta
Violazioni gravi di GDPR, DSA e DMA
L’impatto giuridico della scoperta è enorme. Meta rischia sanzioni per violazione simultanea di tre normative europee: il Regolamento generale sulla protezione dei dati (GDPR), il Digital Services Act (DSA) e il Digital Markets Act (DMA). Ciascuna normativa protegge ambiti diversi e consente sanzioni autonome, che in combinazione possono arrivare fino al 20% del fatturato globale, circa 32 miliardi di euro.
Il GDPR è stato infranto per assenza di consenso, violazione dei principi di minimizzazione e mancanza di protezione per impostazione predefinita. Il DSA vieta l’uso di dati sensibili per fini pubblicitari senza consenso esplicito, e il DMA – attraverso l’articolo 5.2 – proibisce la combinazione di dati tra piattaforme come Facebook e Instagram. La tecnica utilizzata da Meta infrange tutti e tre i punti.
Profilazione completa degli utenti e impatto sulla privacy
La quantità di dati raccolti da questo sistema è impressionante. Non solo la cronologia di navigazione e gli URL visitati, ma anche prodotti visti o acquistati, moduli compilati, registrazioni effettuate e comportamenti temporali. Ogni interazione sul web veniva potenzialmente associata all’identità reale dell’utente, rendendo di fatto inefficaci tutte le contromisure di anonimizzazione. I dispositivi iOS e browser come Brave o DuckDuckGo sembrano essere gli unici a resistere efficacemente a questa sorveglianza.
La scoperta dei ricercatori e le conseguenze future
Il sistema è stato scoperto da un gruppo di studiosi – Tim Vlummens, Narseo Vallina-Rodriguez, Nipuna Weerasekara, Gunes Acar e Aniketh Girish – che ne hanno documentato il funzionamento in ogni dettaglio. Il meccanismo risultava attivo da almeno nove mesi per Meta, ma tecniche simili erano in uso da otto anni anche da Yandex Metrica. La persistenza nel tempo potrebbe aggravare ulteriormente le sanzioni. La reputazione di Meta, già colpita da una multa di 200 milioni di euro nel 2025 per il modello “paga o acconsenti”, è destinata a subire un nuovo duro colpo. Se le autorità europee confermeranno le violazioni, ci si troverà di fronte alla più grande sanzione privacy mai applicata nel settore digitale.
Fonte:
META
