Ogni volta che visitate una pagina web il server che vi fornisce quella pagina vede il vostro indirizzo IP, il browser che state utilizzando, il dispositivo dal quale lo fate ed altri dati (cookies legati a quel dominio): questo probabilmente viene ormai compreso da chiunque perché è come dire che ogni volta che entriamo in un negozio il negoziante ci vede e se torniamo può riconoscerci.

Una cosa già meno intuitiva è, però, che quando guardiamo una pagina web il nostro browser non sta contattando solamente il server che la contiene ma, al fine di visualizzare la pagina spesso contatta decine di altri siti, ovvero tutti quei server che ospitano eventuali immagini, fogli di stile, tipi di carattere, file multimediali, javascript che compongono la pagina stessa.

Ognuno dei server che ospita anche solo un pezzetto di informazione presente in quella pagina riceve così quelle informazioni che intuitivamente pensavamo arrivassero solo al gestore del sito che stiamo visitanto, insieme all'informazione su quale fosse la pagina che stiamo vedendo.

Tornando al nostro esempio del negozio è come se il negozio fosse in realtà pieno di telecamere di amici e fornitori del negoziante e quindi non è più solamente il negoziante che sa che stiamo entrando e cosa stiamo facendo nel suo negozio, ma anche tutti questi che lui ha coinvolto: spesso non si tratta nemmeno di una scelta consapevole del negoziante, spesso è proprio che chi gli affitta il negozio ha le sue telecamere, chi gli vende gli scaffali ha le sue telecamere negli scaffali, chi gli vende il registratore di cassa ha le sue telecamere, e via dicendo. Il negoziante non ha veramente scelto, ha solo scelto di avvalersi di quello scaffale, di quel registratore di cassa.

Magari penserete che ve ne farete una ragione se in 10 o 100 sanno che entrate in un determinato negozio, e chissà cosa se ne potranno fare di sapere chi entra in quel negozio, considerando che non è nemmeno un "chi" ma solamente un insieme di informazioni che non dicono realmente chi siamo ma forniscono solo indizi su un profilo astratto.

Immaginate ora che il venditore degli scaffali usati dal negoziante di prima sia un vero colosso degli scaffali e che il 90% dei negozi della vostra città compri proprio gli scaffali da lui, sì, proprio quegli scaffali con la "telecamera nascosta".

A questo punto i singoli negozianti della vostra città conoscono ciascuno solo chi entra nel proprio negozio, ma il fornitore degli scaffali ha le conoscenze di tutti i negozianti messi insieme e quindi può costruire un "profilo" sapendo quali negozi visitate, quanto tempo ci trascorrete, cosa comprate: e anche ammettendo che non sappia come vi chiamate quando entrerete in un negozio lui riconoscerà che siete gli stessi che pochi minuti prima erano al bar della via a fianco e che tutti i giorni comprano le sigarette a quel tabacchi. Queste informazioni al produttore di scaffali potrebbero non servire nemmeno direttamente, ma potrebbe venderle a chi invece saprebbe come sfruttarle, magari perché nel fare una polizza assicurativa sapere che fumate un pacchetto di sigarette al giorno avrà un suo peso.

Se questo scenario vi sembra un po' eccessivo sappiate che in realtà le tecniche di tracciamento e di costruzione dei profili sono molto più avanzate anche grazie all'uso dei cosiddetti "Cookies", che semplificano l'attività di riconoscimento di un utente già visto in precedenza.

Importante osservare che a volte il negoziante compra semplicemente uno scaffale, che gli serve, e lo mette nel negozio: chi produce lo scaffale ha sempre una telecamera ma magari c'è il produttore che vende gli scaffali ad un prezzo minore perché poi venderà le immagini delle telecamere mentre c'è il produttore che invece tali immagini le usa solo per assicurarsi che i suoi scaffali funzionino bene, se necessitino di riparazioni, se possano essere migliorati. Poi esiste anche il negoziante che decide invece di installare proprio una telecamera di un fornitore esterno: a volte il fornitore fornisce la telecamera gratuitamente e fornisce al negoziante qualche servizio, ad esempio dirgli quali sono gli scaffali di fronte ai quali i clienti si fermano più frequentemente, e nel frattempo colleziona dati.

Abbiamo detto quindi che a poter raccogliere queste informazioni sono tutti coloro che forniscono risorse per una delle pagine web che visioniamo (immagini, font, fogli di stile, file multimediali, etc), e questi sono l'equivalente degli "scaffali" che hanno una utilità ma spesso lo scopo di queste risorse è solo ed esclusivamnete quello di poter fare questo tracciamento. Ecco che, quindi, la risorsa più semplice inseribile in una pagina che farà scattare questa possibilità di tracciare, magari senza nemmeno destare troppi sospetti è proprio una immagine. Ma non vogliamo che in tutti i siti che tracciamo venga visualizzata la stessa immagine che poi desterebbe curiosità e quindi la soluzione è usare una immagine composta solo da un singolo pixel (1 pixel di larghezza, 1 pixel di altezza) e di colore trasparente. Nessuno noterà la presenza di una immagine di un solo punto e per giunta trasparente, in più questa immagine è molto piccola e quindi costerà poco trasferirla a tanti destinatari. Ecco quindi perché si parla di "tracking pixel", è una immagine di un solo pixel che viene usata solamente per scopi di tracciamento.

La questione è tecnicamente abbastanza più complessa, a partire dal fatto che la maggior parte dei browser oggigiorno non forniscono più l'indicazione completa della pagina che ha scatenato la richiesta delle risorse, quando richiedono le risorse, ma solamente quale sia il sito, limitando molto la diffusione di informazioni in maniera "incontrollata" (comportamento dipendente da eventuali scelte del sito visitato e dai comportamenti predefiniti di ciascun browser in merito alla "Referer-Policy").

Ma tutto questo cosa c'entra con l'email? Ebbene è solo un lungo preambolo per arrivare a parlare dei "mailbug", ovvero del tracciamento aperture in ambito email: ma lo faremo nel prossimo articolo!