I dark pattern (o modelli oscuri) sono strumenti che, tramite stratagemmi a livello di contenuto o di interfaccia web, ingannano l’utente e condizionano la sua volontà, portandolo a compiere azioni involontarie o non desiderate, potenzialmente dannose riguardo al trattamento dei suoi dati personali, ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Esistono varie categorie di dark pattern. Le sei tipologie più diffuse, individuate dal Comitato europeo per la protezione dei dati nelle linee guida 3/2022, adottate il 14 febbraio 2023, sono le seguenti:

1. Overloading – Tali dark pattern “sovraccaricano” gli utenti; pongono cioè, gli utenti di fronte a una grande quantità di richieste, informazioni, opzioni o possibilità finalizzate a spingerli a condividere più dati possibili e ad acconsentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato.
2. Skipping – Tali dark pattern inducono gli utenti a saltare alcuni passaggi e non considerare determinati aspetti legati alla protezione dei propri dati.
3. Stirring – Tali dark pattern influenzano la scelta degli utenti facendo appello alle loro emozioni o usando stimoli visivi.
4. Hindering – Tali dark pattern ostacolano o bloccano gli utenti nel loro processo di informazione o di gestione dei loro dati.
5. Fickle – Tali dark pattern sottopongono agli utenti un’interfaccia incoerente e poco chiara che non consente agli stessi di capire quali siano le finalità per cui acconsentono al trattamento dei dati.
6. Left in the dark – Tali dark pattern nascondono agli utenti informazioni o strumenti di controllo della privacy.

I dark pattern sono spesso utilizzati nel marketing perché consentono di condurre l’utente a compiere azioni che, in assenza di tali strumenti ingannevoli, lo stesso difficilmente avrebbe effettuato. Si pensi, ad esempio, al conferimento di dati personali eccedenti rispetto alla semplice finalità di marketing o al rilascio di un consenso al trattamento dei dati per fini marketing e/o alla profilazione che in precedenza era stato negato dall’utente.

L’impiego di dark pattern però si pone in contrasto con la normativa in materia di protezione dei dati personali, in quanto comporta  la violazione dei principi di liceità, trasparenza e correttezza, dei principi di privacy by design e by default e, a seconda dei casi concreti, dei principi di minimizzazione e limitazione delle finalità e delle disposizioni che regolano le condizioni per il consenso.

Impiego di dark pattern in siti web: provvedimento sanzionatorio del Garante privacy

Il Garante privacy, nell’ambito di alcune verifiche effettuate nei confronti di una società che offre servizi di digital marketing, ha individuato l’impiego di dark pattern.

Più precisamente, come rilevato dal Garante, all’interno di alcuni dei portali di proprietà della società, si richiedeva all’utente, in fase di iscrizione, di flaggare apposite caselle per prestare il proprio consenso al trattamento dei dati per fini marketing della società stessa e per la comunicazione dei dati a terzi per fini marketing; se non veniva selezionata alcuna casella, il sistema presentava un pop up che evidenziava la mancanza del consenso e mostrava un tasto ben evidente per accettare il trattamento. Il link per continuare senza accettare era posto in basso, fuori dal pop up, in testo semplice (senza il formato grafico del pulsante) scritto con carattere di dimensioni inferiori al resto del testo e, essendo in sovraimpressione, poco visibile.

Come indicato dal Garante, la proposizione del pop up non aveva alcuna utilità per lo svolgimento del processo di iscrizione ma rappresentava un ulteriore tentativo di raccogliere il consenso dell’utente nonostante questi avesse già chiaramente espresso la sua volontà nella schermata precedente.

Tale tentativo, oltre ad aggravare inutilmente il percorso di iscrizione, si caratterizzava per una maggiore opacità delle modalità con cui la richiesta di consenso veniva presentata, aumentando le probabilità che l’interessato rilasciasse il proprio consenso non per scelta consapevole ma piuttosto perché indotto in errore o per la fretta di concludere il processo.

Analoga impostazione è stata rilevata nella schermata presentata all’utente per invitarlo a fornire i dati di altri soggetti potenzialmente interessati ad iscriversi ai servizi. A fronte di messaggi di invito scritti in grassetto e campi asteriscati (anche se di fatto facoltativi), infatti, l’opzione “…oppure salta” – che dovrebbe essere alternativa al tasto “continua” – era riportata in fondo alla pagina in carattere molto più piccolo e con una grafica del tutto diversa rispetto all’opzione “continua”.

Le interfacce valutate dal Garante nell’ambito delle verifiche svolte presentano evidentemente impostazioni assimilabili ai cosiddetti “modelli oscuri” descritti  dal Comitato europeo per la protezione dei dati nelle richiamate Linee guida, adottati al fine di aggirare la volontà degli utenti.

Per tali ragioni, il Garante privacy, nel suo provvedimento del 23 febbraio 2023, ritenendo integrata la violazione dell’art. 5, par. 1, lett. a, (principio di liceità, correttezza e trasparenza), dell’art. 7 par. 2 (condizioni per il consenso) e dell’art. art. 25 (privacy by design e by default) del Regolamento UE 2016/679, ha applicato alla società una una sanzione amministrativa pecuniaria.