I dark pattern sono tecniche di design di un sito web o un applicativo tali da indurre un utente a fare delle scelte che normalmente non farebbe.
Il Considerando 67 del Digital Services Act europeo definisce i "dark pattern" come pratiche che materialmente distorcono o compromettono, volontariamente o di fatto, la capacità dell'utente di fare scelte autonome e informate. Il termine "dark pattern" (schemi non trasparenti) è stato coniato dal web designer inglese Harry Brignulli, che ha anche creato un sito (darkpatterns.org) per aiutare a individuare questi schemi. Si tratta di schemi utilizzati da molte aziende, le quali da sempre individuano metodi per condizionarne le scelte degli utenti. Alcuni esempi possono essere:
- il pulsante di accettazione dei cookie impostato con un colore più evidente rispetto a quello di rifiuto del consenso;
- il servizio di streaming di prova a cui ti sei registrato, che però ti addebbita il prezzo alla scadenza del periodo di prova;
- l'annuncio dell'app da con la "X" in alto a destra troppo piccola e con colori sbiaditi per essere vista;
- e così via...
I dark patterns sono definiti dal commissario federale per il commercio degli Stati Uniti, Rohit Chopra, come "caratteristiche di progettazione utilizzate per ingannare, guidare o manipolare gli utenti in un comportamento redditizio per un servizio online, ma spesso dannoso per gli utenti o contrario alle loro intenzioni". Woodrow Hartzog, professore di diritto e informatica alla Northeastern University, sostiene che il modo in cui le interfacce utente sono progettate gioca un ruolo chiave nell'erosione della privacy di un utente. Secondo lui le leggi sulla privacy devono affrontare il design in un modo che sia flessibile e non eccessivamente vincolante definendo anche limiti e obiettivi per la progettazione tecnologica.
I dark pattern mirano a influenzare il comportamento degli utenti e possono ostacolare la loro capacità di proteggere efficacemente i propri dati personali e fare scelte consapevoli. Tali interfacce devono essere sanzionate se violano i requisiti del GDPR.
In breve, un dark pattern è un meccanismo che viola nella sostanza il GDPR mentre formalmente sembra conformarsi ad esso. Si sfrutta la tendenza delle persone a rispettare le scelte preimpostate. Gli utenti, sovraccarichi di informazioni, sono ingannati dal design del sito che porta ad accettare le scelte preselezionate oppure a selezionarne alcune più evidenti. In breve il modello è impostato in modo che l'utente possa sbarazzarsi facilmente (minore attrito) degli ingombranti box di scelta per arrivare più velocemente al contenuto richiesto. Così sono incoraggiati a non leggere le condizioni, o ad accettare delle scelte che implicano il minimo di attività (e tempo). Le selezioni più tutelanti per gli utenti, quindi, sono impostate in modo che l'utente debba compiere attività più defatiganti (quindi con maggiore attrito).
E questo specialmente in materia di privacy e di gestione dei cookie, fornendo, ad esempio, troppe informazioni per rendere complessa e defatigante la selezione dell'opzione. Un caso classico è quando si prevedono due scelte: accettare i cookie oppure impostare le preferenze, laddove le preferenze portano ad altra scheda nella quale sono presenti innumerevoli impostazioni per deselezionare i singoli fornitori.
Tra i dark patterns sono annoverati anche gli schemi che portano ad una manipolazione emotiva, ad esempio presentando una scelta come la migliore per l'utente, quando in realtà porta ad un vantaggio per l'azienda. Un esempio può essere la presentazione degli "amici" che ti mancheranno se decidi di lasciare il servizio online.
Regolamentazione in Europa
Nell'aprile del 2019, la CNIL francese ha pubblicato una relazione in cui rileva l'importanza della progettazione dell'interfaccia utente per la tutela degli utenti. Il design - ha sottolineato la CNIL - è fondamentale per proteggere la privacy. Il rapporto ha anche discusso di come il consenso raccolto utilizzando dark patterns potrebbe non essere ritenuto consenso valido liberamente dato: "il fatto di utilizzare e abusare di una strategia per distogliere l'attenzione o modelli oscuri può portare a invalidare il consenso".
La tutela degli interessati a fronte dei dark pattern si incentra sui seguenti principi:
- principio di correttezza e trasparenza;
- privacy by design;
- principio di responsabilizzazione.
La normativa in materia di protezione dei dati personali (GDPR) impone non solo un'informazione chiara e trasparente (principio di correttezza del trattamento, art. 5 GDPR), ma anche che le caselle di accettazione non siano preselezionate. Il GDPR in sostanza impone obblighi di progettazione dei siti web, in modo che l'utente non venga manipolato nelle sue scelte. In tal senso, il titolare del trattamento deve impostare fin dall'inizio (privacy by design e by default) il sito web (ma anche l'intero trattamento aziendale) in modo che siano raccolti solo i dati strettamente necessari, ma nel contempo si impone che l'utente abbia facili scelte e semplici possibilità di far valere i suoi diritti. Ad esempio, un sito web deve avere una modalità per il rifiuto dei cookie che sia semplice quanto la possibilità di accettarli. Inoltre il GDPR obbliga le aziende a rendere accessibili i dati personali all'utente che ne fa richiesta. Infine, il principio di responsabilizzazione entra in gioco, in quanto la user experience, il modo come è disegnato il sito, può essere una modalità attraverso la quale si dimostra la conformità alle norme, evidenziando come gli interessati acquisiscono le informazioni e forniscono il consenso (ove richiesto).
Anche la legge sui servizi digitali (Digital Services Act) dell'Unione europea prevede norme in materia di schemi ingannevoli. L'art. 13a, infatti, vieta ai fornitori di servizi online l’utilizzo delle loro interfacce online in modo da incidere sulle decisioni degli utenti limitando il diritto a una libera scelta, ad esempio dando risalto visivo a un'opzione di consenso rispetto ad altre. L'art. 25 vieta di progettare o organizzare interfacce che ingannano o manipolano i destinatari o che materialmente distorcono la loro capacità di decidere liberamente e informatamente. Quindi il divieto si applica al design, alla struttura e al funzionamento dell'interfaccia.
Il 15 maggio 2022 l'EDPB ha pubblicato le linee guida sui dark pattern, fornendo raccomandazioni per la progettazione delle interfacce utente dei social media.
A tali normative si aggiunge l'Unfair Commercial Practices Directive (UCPD, recepita in Italia attraverso il D.lgs. 23 agosto 2007 n. 145), in tema di tutela del diritto dei consumatori, il quale considera ingannevole una pratica che contiene informazioni false o che, anche se formalmente corrette, è presentata in modo da probabilmente indurre in errore il consumatore medio - ad esempio dichiarando urgenti disponibilità inesistenti. Le linee guida citano espressamente il caso di false urgenze/false scorte ("solo 2 rimasti" quando è falso).
Regolamentazione negli Usa
In California il Consumer Privacy Act (CCPA) vieta i dark patterns progettati per rendere difficile per i consumatori l'esercizio di alcuni dei diritti previsti dalla legge, tra i quali rinunciare alla vendita dei propri dati. I modelli vietati includono: costringere gli utenti a fare clic su più schermi, scorrere lunghe politiche sulla privacy, esortarli a non rinunciare o utilizzare un linguaggio confuso.
Esempi pratici di dark pattern
La frase "Sono rimasti pochi prodotti disponibili" può costituire un dark pattern o una pratica commerciale ingannevole se usata per creare urgenza ingiustificata. Per esempio, quando non corrisponde al vero, è generata dinamicamente senza base, o è presentata in modo da manipolare la scelta. Se invece corrisponde a una reale disponibilità verificabile, mostrata in modo trasparente e non combinata con altri trucchi (timer falsi, reset alla ricarica della pagina, personalizzazione per fare pressione su categorie vulnerabili ecc.), la frase di per sé non è vietata dal DSA né dall’UCPD.
Di seguito alcuni esempi di uso problematico:
- falsa scarsità: non ci sono davvero pochi pezzi o lo stock è facilmente rifornibile e l’avviso non riflette questa realtà (caso tipico di enforcement e multe);
- combinazione con altri meccanismi manipolativi: timer che si resettano, messaggi personalizzati che sfruttano vulnerabilità, indicazioni di "molti utenti stanno guardando" inventate, counts che cambiano solo per pressione psicologica (scarcity + social proof false);
- presentazione prominente e persistente (banner grande, colori e posizionamento che impediscono di vedere info alternative), in modo da “spingere” l’azione immediata senza possibilità di informarsi.
In questi casi la frase non è più semplice informazione: diventa parte di un’interfaccia manipolativa e può integrare il divieto dell’art. 25 del DSA.
La frase sopra riportata è accettabile:
- quando corrisponde a dati reali (es. il magazzino ha effettivamente 3 pezzi), e ciò è verificabile (magari con timestamp o link a disponibilità), senza combinazioni manipolative;
- quando è presentata come informazione, non come leva per forzare la scelta (nessun timer falso, non ripetuta in modo aggressivo ecc.);
- se non è personalizzata per sfruttare vulnerabilità o condizioni soggettive dell’utente.
Quindi la compliance è questione di veridicità e contesto di presentazione.
In questo caso è meglio usare formule alternative che siano conformi alle norme:
- se stock reale: “Disponibilità limitata: 3 pezzi in magazzino (aggiornato alle 11:02)”: buona pratica;
- se non si è sicuri dello stock o si è in dropshipping: evitare frasi quantificate; meglio “Disponibilità variabile: verifica prima dell’acquisto” o mostrare solo la data stimata di spedizione;
- evitare: “Solo 1 rimasto! Compra ora!” se non vero; evitare aggiunte di timer o messaggi tipo “Altri 12 utenti lo stanno guardando” senza dati.
Altra frase spesso presente sugli ecommerce è "Ci sono solo pochi prodotti rimasti in magazzino. Inserisci subito il tuo indirizzo email e prenota". Qui non si tratta più solo di un’informazione di disponibilità, ma di un pattern di nudging (spinta comportamentale) che può concretamente rientrare nella definizione di dark pattern ai sensi dell’art. 25 e del recital 67 del Digital Services Act (DSA).
La frase, infatti, unisce due elementi distinti:
1. Pressione artificiale all’urgenza (“solo pochi prodotti rimasti”);
2. Richiesta di un dato personale (“inserisci subito il tuo indirizzo email e prenota”).
Questa combinazione condiziona il consenso e distorce la capacità decisionale dell’utente, integrando la fattispecie di dark pattern delineata nel recital 67 DSA. Lo stesso recital menziona come esempi vietati i meccanismi di pressione che “spingono gli utenti a fare scelte non volute o a fornire più dati personali di quelli necessari”.
La frase viola queste normative:
- art. 5(1)(a) GDPR: se l'utente è indotto a inserire dati per paura di perdere un'occasione, il consenso non è libero;
- art. 25 DSA: l'interfaccia che usa messaggi di scarsità per spingere alla registrazione materialmente distorce la capacità decisionale dell'utente (dark pattern manipolativo);
- artt. 6 e 7 direttiva 2005/29/CE (UCPD): se la scarsità non è reale o è esagerata, si tratta di una pratica commerciale ingannevole; il messaggio "solo pochi rimasti" è considerato pratica di "fake urgency", esempio tipico di dark pattern.
Ma tale frase è comunque manipolativa anche ammesso che il magazzino abbia davvero pochi pezzi. L'abbinamento con la richiesta di email immediata, infatti, introduce una leva emozionale che:
- non serve al processo di acquisto (l'utente non sta comprando, ma cedendo un dato personale);
- sfrutta la pressione psicologica per ottenere un'informazione (l'email) che eccede la finalità apparente del messaggio;
- rende il consenso non libero, perché motivato da urgenza indotta.
Un esempio conforme potrebbe essere: “Attualmente sono disponibili pochi prodotti. Se vuoi ricevere un’email quando torneranno disponibili, puoi lasciarci il tuo indirizzo". Le caratteristiche in questo caso sono:
- nessun avverbio d’urgenza (“subito”, “prenota ora”, “non perdere l’occasione”);
- separare il dato informativo (disponibilità) dalla raccolta dati;
- chiarire la finalità della raccolta (es. “Ti informeremo via email sulla disponibilità del prodotto”);
- offrire una reale scelta (campo opzionale, non obbligatorio).
