3rdParty Cookies che cosa sta succedendo?

24 Giugno 2021 Google annuncia il posticipo della fine dei 3rdParty Cookie in Google Chrome ed il mondo del AdTech sembra essersi congelato.
Prima di questa decisione della grande G le testate giornalistiche generaliste avevano dedicato articoli in prima pagina alla più grande rivoluzione del mondo digital portando l’argomento all’attenzione di tutti.
Oggi i 3rdparty cookies sono tornati ad essere un argomento solo per addetti ai lavori, senza una soluzione certa all’orizzonte, ma solo tante proposte.

L’obiettivo di quest’articolo è cercare di creare un po’ di chiarezza in questo mondo, cercando di spiegare quali sono e saranno le conseguenze, ma il mondo sta cambiando ed anche il blocco dei Mobile Advertising ID sta cambiando la prospettiva del mondo digital ne parlo nel articolo linkato.
Di cosa parlerò in questo articolo primo della serie:

• Perché i cookie di terza parte verranno disabilitati
• Apple Intelligent Tracking Prevention
• Cosa fanno gli altri Browser Vendor?
• Che cosa significa non avere più i cookie di terza parte
• La scelta di Google: la Privacy Sandbox
• Soluzioni già disponibili ad oggi per migliorare la misurazione

Perché i cookie di terza parte verranno disabilitati definitivamente?

In molti si pongono questa domanda: i 3rdparty Cookie sono sempre esisti ed ancora oggi l’utente nemmeno si rende conto della loro esistenza, allora perché tanto clamore oggi?
Il punto nevralgico del discorso è proprio quest’ultimo: gli utenti finali non sanno che i 3rdParty cookies esistono e possono essere “pericolosi” per la loro privacy.
Procediamo con ordine.
Che cos’é un 3rdParty Cookie?
Per semplificare immaginate i 3rdParty Cookie come un file di testo salvato sul vostro browser, ma controllato da un’azienda terza (Google, Facebook, Criteo, AdRoll, Amazon, ecc in futuro le chiamerò aziende AdTech). Questo piccolo documento viene utilizzato per salvare all’interno del browser un identificativo univoco anonimo dell’utente. Ogni browser utilizzato dall’utente avrà un’identificativo diverso quindi browser diversi utilizzati dallo stesso utente risulteranno come utenti diversi per i 3rdParty Cookie. Se l’utente cancella i cookie del suo browser verrà generato un nuovo identificativo e l’utente verrà riconosciuto come un nuovo utente.
Tale identificativo permette alle aziende proprietarie del 3rdParty Cookies di tracciare le attività digitali di tale utente su tutti siti da lui consultati (naturalmente se il sito in oggetto ha implementato le tecnologie dell’azienda proprietaria del 3rdParty Cookie). In questo modo le aziende del mondo del Adtech possono creare un profilo dell’utente e calcolare i suoi interessi, la sua propensione all’acquisto ed altre caratteristiche utili al mondo del advertising attraverso la semplice consultazione di siti internet, in gergo lo user behaviour.

Vorrei rendere più chiaro questo passaggio facendo un esempio partendo da Google.
Google è proprietario di Google Ads, tale strumento di advertising permette di attivare pubblicità all’interno dei prodotti Google e in siti terzi. Quando l’utente visita il sito del advertiser (TIM, RayBan, Italo Treno, Trenitalia, ecc ) Google può accedere al suo 3rdParty cookie e riconoscere tale utente su tutti i siti di tutti gli advertiser e sapere se è interessato ad acquistare una nuova connessione a Fibra ottica, se vuole comprare i nuovi occhiali di Rayban, se viaggerà tra Roma e Milano nei prossimi giorni utilizzando Italo oppure Trenitalia.
Google è anche proprietario delle rete di monetizzazione per gli editori (La Stampa, Repubblica, Corriere, ecc) quindi per lo stesso utente ed utilizzando lo stesso cookie può sapere quali sono le ultime news che ha letto e quali sono gli argomenti che più lo interessano (Tennis, formula 1, notizie locali, finanza, ecc.), a queste informazioni può aggiungere le informazioni di ricerca fatte dall’utente su Google, i video visualizzati su YouTube, e le news lette su Google News o Discover.

Non solo: le attività online possono essere collegante con le attività offline di un utente “semplicemente” aggiungendo un po’ di tecnologia: esistono aziende denominate Data Provider che vendono dati come le transazioni fatte su portali del travel, o fatte presso supermercati offline od altre grandi catene di distribuzione.
Tornando all’esempio di Google attraverso Google Maps e Waze può sapere dove state andando, grazie a Google Pay cosa avete acquistato offline, ecc. ecc.

Potete immaginare un 3rdParty cookie come una versione meno stabile della fidelity card di Esselunga, ma che permette di tracciare i vostri acquisti in tutti i supermercati del mondo.

L’utente finale nella maggior parte dei casi è completamente ignaro di quali dati online vengono raccolti, di come essi siano utilizzati per creare un profilo dettagliato delle sue abitudini, ma soprattutto che tali dati possono essere venduti ed utilizzati da terzi.
Lo scandalo Cambridge Analytica ha fatto emergere tale problema nella comunicazione mainstream, ma esistono molte altre aziende che raccolgono i dati degli utenti e sono molte di più di quanto voi possiate immaginare.

I legislatori di tutto il mondo si stanno muovendo per tutelare i dati degli utenti, ma non può naturalmente vietare l’uso di tecnologie: ad oggi le varie leggi sulla privacy non vietano la raccolta del dato, ma la rendono più difficile obbligando le aziende a chiedere e registrare il consenso esplicito dell’utente. Il legislatore è per definizione più lento della tecnologia, ma l’impianto alla base della legge europea sulla privacy (GDPR) ha reso il sistema flessibile e piano piano attraverso aggiornamenti si sta rendendo più difficile raccogliere i dati dell’utente, ma non impossibile.
La GDPR ha fatto scuola: anche altri stati stanno implementando le proprio leggi sulla privacy come la CCPA per la California, LGPD in Brasile, PIPL per la Cina ecc.

A causa di questa facilità di raccolta dati all’insaputa dell’utente è stata dichiarata guerra ai 3rdParty cookie ed alla profilazione da parte di tutti i maggiori produttori di browser.
Tutto è partito da Apple nel 2017 con il rilascio di Intelligent Tracking Prevention (ITP per gli amici) che rimane ad oggi il sistema più avanzato sul mercato per prevenire il tracking degli utenti da parte dei browser.

Che Cos’é l’intelligent Tracking Prevention di Apple?

Apple è stata la prima azienda produttrice di browser ad affrontare il tracking delle persone in modo sistematico introducendo ITP: un framework sviluppato all’interno del browser che utilizza regole e machine learning per limitare le informazioni raccolte da terze parti relative agli utenti del browser Safari.

Intelligent Tracking Prevention nel corso degli anni è stato aggiornato continuamente per difendere sempre di più la privacy degli utenti
Vediamo quali sono le principali funzioni di ITP nella sua ultima versione:

• I 3rdParty Cookie sono sempre bloccati
• se all’interno della url vengono identificati parametri di tracciamento del click eventuali first party cookie collegati a tale tracciamento avranno una durata di sole 24H
• I cookie di prima parte avranno una durata massima di 7 giorni
• L’ip dell’utente viene offuscato a tracker conosciuti
• L’integrazione di Private Click Measurement: framework con l’obiettivo di misurare le performance delle campagne di advertising cross sito proteggendo la privacy dell’utente
• Soluzioni per bloccare la possibilità da parte delle adtech di applicare strategie di finger printing: la possibilità di usare altre informazioni raccolte dal browser per identificare l’utente in maniera quasi univoca
• Soluzioni per evitare il tracking dell’utente attraverso sistemi di server redirect
• Attraverso la funzione App-bound Domain limita la possibilità di tracciare l’utente all’interno di un app utilizzando sistemi di tracking collegati alle webView

Safari è ad oggi il browser con le policy di tracking più restrittive. Apple ha portato una versione di tali policy anche su iOs14.5 e successivi limitando l’accesso ai Device ID: il parallelo del 3rdparty cookie nel mondo smartphone

Che Cosa fanno gli altri browser?

Con Apple che spinge sulla privacy come vantaggio competitivo gli altri produttori di browser non potevano stare a guardare e sono tutti entrati nella partita.
Alcuni browser minori come Brave che hanno fatto della privacy il mezzo per differenziarsi ed essere notati hanno guadagnato quote di mercato, gli altri hanno introdotto nuove funzionalità privacy centriche tutte concentrate nel impedire il tracking degli utenti.

Nella tabella qua sotto presa in prestito da Antongiulio Staniscia vengono riassunte tutte le funzionalità privacy sviluppate browser per browser

Le soluzioni adottate sono molto meno sofisticate rispetto ad Apple: la maggior parte dei browser ha adottato una black list di domini a cui il browser non invia dati, se la blacklist non viene aggiornata il tracking è possibile, mentre Apple ITP usa modelli basati sul machine learning per individuare rischi di tracciabilità.

Noterete come Google Chrome sia il grande assente non avendo implementato praticamente alcuna funzione per limitare il tracciamento degli utenti.

Google si trova in una situazione unica rispetto al mercato: è il produttore del browser più utilizzato al mondo con un share attorno al 60%, ma è anche l’azienda del mondo del advertising con gestisce la maggior parte del mercato. Se Google dovesse introdurre funzionalità che limitano i suoi concorrenti nel mondo AdTech l’antritrust dovrebbe intervenire per controllarne e nel caso bloccarne l’operato.
Google ha scelto di affrontare il problema introducendo il progetto Privacy Sandbox di cui parleremo in seguito, prima vorrei spiegarvi quali conseguenze comporta nel mondo del advertising bloccare i 3rdParty Cookie.

Cosa Significa il blocco dei cookie di terza parte nel mondo digitale di tutti i giorni?

Nella tabella sottostante ho schematizzato le conseguenze del blocco dei 3rdParty Cookies in diversi ambiti:

• Tools: quali tools verranno maggiormente colpiti da questa rivoluzione
• Channels: quali sono i canali di advertising affetti dal cambiamento
• Measurement: cosa sarà ancora possibile misurare

Dalla tabella emerge chiaramente come tutto il mondo del Programmatic Advertising sarà il maggiormente colpito. Alcuni strumenti come le Data Management Platform scompariranno dal mercato perché non hanno più senso di esistere e verranno probabilmente soppiantate dalle Customer Data Platform.
Programmatic advertising potrebbe sembrarvi una parola distante dal vostro mondo, in realtà le funzioni di remarketing di Google Ads e Facebook Ads sono basate sui principi del programmatic advertising: sparendo i 3rdParty Cookie non sarà più possibile utilizzare campagne di remarketing (salvo che non venga sviluppata un’alternativa). Rimarrebbe possibile attivare campagne di remarketing creando audience basate sull’email dell’utente ( Custom Audience in Facebook e Custom Match in Google Ads). Stessa situazione per Audience e Segmenti creati usando le funzionalità di Look a Like.

Identificare l’utente e i suoi interessi non è l’unico problema: molti sistemi di misurazione delle performance delle campagne di advertising si basano su 3rdParty cookie e con la loro sparizione anche la misurazione verrà compromessa. I maggiori player di mercato sono passati ad un first party cookie per la parte di misurazione, ma rimangono elementi che sono imprescindibili da un 3rdparty cookie come:

• Reach and Frequency
• Attribution Multi Touch

Canali e tool che invece utilizzano dati aggregati come le analisi di mercato o gli ascolti televisivi non sono naturalmente colpiti da questa rivoluzione, come non lo sono strumenti basati sui dati dei clienti come il direct marketing (newsletter, sms, ecc) o gli strumenti di digital Analytics come Google Analytics.

Ad aggravare la situazione abbiamo anche il legislatore che impone metodi sempre più restrittivi per ottenere il consenso dell’utente: l’ultima direttiva di Giungo 2021 del garante della privacy specifica nel dettaglio come l’utente deve dare o rifiutare il consenso in modo e metodi poco consoni come lo scroll non sono più compliant. Ad oggi in molti stati europei (al 5 febbraio 2022 l’Italia non è tra questi) anche l’attivazione di Google Analytics mascherando l’ip e disattivando le funzioni di remarketing non può essere attivato se non dopo il consenso esplicito dell’utente.

Per farvi capire come la situazione legale e politica complichi di molto la situazione essendo crollato il Privacy Shield grazie alla sentenza Schrems 2, l’uso di Google Analytics (e di altri strumenti simili) è a rischio in quanto esporta dati personali verso gli USA.

La scelta di Google: Privacy Sandbox

Come prima descritto Google è in una posizione unica con il proprio browser Chrome e non può permettersi di cancellare i cookie di terza parte senza un’alternativa accettata dal mercato pena una causa antitrust.
Google si è mosso per tempo raccogliendo tutte le tecnologie da lui proposte per sostituire i 3rdParty Cookie sotto un’unico brand: la Privacy Sanbox

Dopo un primo periodo di metodi di comunicazione errati e di confusione Google ha cambiato rotta creando un sito internet in cui presenta la proposta di roadmap per lo studio, la verifica, il test e l’eventuale release all’interno di Chrome della diverse tecnologie: Privacy Sandbox (ad oggi) non è un prodotto di Google, ma è una raccolta di proposte per il mercato.
Una delle soluzioni proposte per permettere di pianificare pubblicità basata sugli interessi è già stata testata e poi bloccata, dopo molte polemiche: le Federate Learning of Cohort o per gli amici dette anche FLoC oggi sostituita dalla proposta Topics API

Le soluzioni di Google si sviluppano in 4 ambiti;

• Combattere le frodi e lo spam: i thirdparty cookies sono alla base di molti modelli di controllo dello spam e delle frodi di advertising è necessario trovare un’alternativa
• Mostrare annunci rilevanti: non potendo profilare direttamente le persone Google vuole trovare una soluzione alternativa, ma è necessario cambiare anche l’infrastruttura alla base del programmatic advertising
• Misurare le performance delle campagne di advertising:
• Limitare la possibilità di tracciare gli utenti cross sito: molte funzionalità non di tracking sono basate su un 3rdparty cookie come il login su siti appartenenti alla stessa azienda ma che vivono su domini diversi. Tali soluzioni se usante in modo coretto sono utili per l’utente, ma posso essere utilizzate in modo deviato e rischiano di ledere la privacy dell’utente ed è necessario introdurre alternative

Google sta lavorando a tutte le sue proposte insieme agli altri player del AdTech, la visione della grande G è di potenziare le funzionalità del browser che diventerà il centro delle nuove funzionalità,
Esistono proposte alternative come Parakeet di Microsoft che prevede l’uso di un server centralizzato. La proposta dell’azienda di Redmond sta riscuotendo un discreto successo tanto che iniziano ad esserci le prime proposte per le caratteristiche di tale server (GARUDA) e lo IAB US sta lavorando per definire la struttura organizzativa che potrebbe gestire tale server.

Una proposta alternativa che sta avendo molto seguito e che è già utilizzata nel mondo reale è Unified ID 2.0 proposta da The Trade Desk (famosa DSP americana, che ha aperto nel 2021 la sua sede in Italia). L’idea è molto semplice: creare un identificato dell’utente partendo dai suoi dati personali (come email e numero di telefono) rendendoli anonimi. Alla base di tutto c’è la richiesta del consenso da parte dell’utente e la possibilità in qualsiasi momento da parte dell’utente di revocare il permesso di utilizzare i suoi dati e di cancellare i dati raccolti fino a quel momento.

Al momento Unified ID 2.0 ha uno ostacolo molto alto da superare: l’email criptata per la GDPR è un dato personale pseudo anonimizzato e richiede un consenso, ma anche un contratto tra le parti per essere condiviso: The TradeDesk sta lavorando con i propri partner per capire come gestire tale situazione, ma ha presentato presentato il primo business case sviluppato in Canada.

Tutte queste sono solo proposte o tecnologie in prova, nulla è ancora deciso e sul mercato al momento non ci sono soluzioni per risolvere tutti i problemi relativi alla sparizione dei 3rdParty Cookie.
In molti pensano di poter star tranquilli fino al 2023, ma non è del tutto vero.
Vi riporto qua sotto la situazione browser per un mio cliente un grande ecommerce del travel

Il 54% del traffico ed il 63% del fatturato è generato dal Google Chrome, ma il 46% del traffico al sito ed il 37% del fatturato è fatto da browser che non supportano più i 3rdparty cookie già oggi.

Che cosa possiamo fare oggi per prepararci alla rivoluzione e mitigare i problemi di misurazione?

I big del AdTech hanno presentato le loro soluzioni per sopperire almeno in parte ai problemi di 3rdParty cookie ed alle sempre più stringenti direttive legate alla privacy.
Piccolo vademecum di come prepararsi già oggi la futuro:

1. Aggiornare tutti i tag di advertising e di analytics all’ultima versione disponibile
2. Installare una Consent Management Platform: per semplificare la richiesta del consenso da parte degli utenti. Sul mercato sono ormai a centinaia vi consiglio di sceglierne una conforme allo standard IAB TCF 2.0
3. Implementare il Google Consent Mode: tale soluzione permette a Google di modellare attraverso il Machine Learning le conversioni degli utenti che non hanno accettato la profilazione
4. Implementare Facebook Conversion API: La grande F è stata colpita pesantemente dalle restrizioni di Apple prima con ITP e poi con la limitazione ad accedere al Device ID di iOS 14.5 e successivi. Per questo motivo Facebook ha introdotto una soluzione che permette al advertiser di inviare informazioni relative agli utenti che hanno convertito utilizzando o un identificativo di proprietà del advertiser oppure l’email codificata del cliente che ha convertito
5. Implementare Google Enhanced Conversion: come per Facebook anche la grande G ha ideato il suo modo per inviare i dati di conversione utilizzando l’email criptata degli utenti
6. Analizzare se Google Tag Manager Server side è una soluzione adatta la tuo business: GTM server è uscito da poco dalla fase di beta, sono aumentati i template disponibili ed è stata aperta la possibilità di integrare template di terzi, ma non né di facile gestione né la soluzione ad ogni problema.
7. Pianificare una strategia per valorizzare i dati della tua azienda, in gergo i dati di prima parte o first party data. E’ sempre stato importante avere una buona data strategy per portare valore, ma oggi lo è ancora di più non potendo più affidarsi a terzi per conoscere le caratteristiche dei propri utenti: iniziate oggi ad unire dati di navigazione, dati di transazione ed informazioni degli utenti presenti nei CRM come età, sesso, ecc. Google Analytics 4 con il suo nuovo data model e l’export a Google BigQuery ha reso accessibile alle aziende di ogni tipo la possibilità di unire dati di navigazione ad altri dati

Se sei arrivato fino a qui potrebbe interessanti anche la seconda parte Mobile Advertising ID che cos’é? Che cosa sta succedendo in iOS e in Android e perché.