Tra i vari obblighi – e divieti – imposti dal Digital Service Act (DSA) c’è anche la messa al bando dei dark pattern, ossia quei “percorsi ingannevoli” o “oscuri” che portano l’utente di un servizio digitale a tenere un comportamento che, in linea di principio, non vorrebbe tenere.
Questa mossa legislativa rappresenta un passo significativo nel riconoscimento dei diritti degli utenti online e della necessità di una maggiore trasparenza nelle interfacce digitali. Tuttavia, si pone anche una sfida per le aziende che devono ora navigare in questo nuovo panorama normativo, garantendo la conformità dei loro servizi digitali senza compromettere l’esperienza dell’utente. Un equilibrio delicato, ma cruciale per la fiducia e l’integrità del futuro digitale.
Cosa sono i dark patterns e perché sono stati vietati
I dark patterns sono tecniche di design ingannevole utilizzate in siti web e app per indurre gli utenti a fare cose che potrebbero non voler fare, spesso a vantaggio del proprietario del sito o dell’app.
Questi schemi manipolativi possono variare: si va da semplici trucchi per farci iscrivere a servizi che non desideriamo, a tattiche che ci fanno spendere più soldi di quanto avremmo voluto.
Il termine “dark pattern” è stato coniato dal designer UX Harry Brignull nel 2010 e da allora è diventato una questione di discussione nel mondo della tecnologia digitale.
Ci sono varie tipologie di dark pattern, tutte vietate dal DSA, fondamentalmente a tutela degli utenti in rete e per creare un ambiente online più fruibile e più facile da gestire per chiunque acceda al web.
Il divieto previsto dall’articolo 25 del Digital Service act
L’Unione europea ha vietato espressamente i dark patterns con l’articolo 25 del DSA, rubricato “Progettazione e organizzazione delle interfacce online”, di cui è opportuno riportare il testo.
“1. I fornitori di piattaforme online non progettano, organizzano o gestiscono le loro interfacce online in modo tale da ingannare o manipolare i destinatari dei loro servizi o da materialmente falsare o compromettere altrimenti la capacità dei destinatari dei loro servizi di prendere decisioni libere e informate.
2. Il divieto al paragrafo 1 non si applica alle pratiche contemplate dalla direttiva 2005/29/CE o dal regolamento (UE) 2016/679.
3. La Commissione può emanare orientamenti sull’applicazione del paragrafo 1 con riguardo a pratiche specifiche, in particolare:
a) attribuire maggiore rilevanza visiva ad alcune scelte quando si richiede al destinatario del servizio di prendere una decisione;
b) chiedere ripetutamente che un destinatario del servizio effettui una scelta laddove tale scelta sia già stata fatta, specialmente presentando pop-up che interferiscano con l’esperienza dell’utente;
c) rendere la procedura di disdetta di un servizio più difficile della sottoscrizione dello stesso”.
I percorsi oscuri sulle interfacce online
Per capire meglio di cosa stiamo parlando, è opportuno riportare il testo del Considerando 67 del DSA, che si apre proprio parlando di “percorsi oscuri”.
“(67) I percorsi oscuri sulle interfacce online delle piattaforme online sono pratiche che distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni autonome e informate. Tali pratiche possono essere utilizzate per convincere i destinatari del servizio ad adottare comportamenti indesiderati o decisioni indesiderate che abbiano conseguenze negative per loro. Ai fornitori di piattaforme online dovrebbe pertanto essere vietato ingannare o esortare i destinatari del servizio e distorcere o limitare l’autonomia, il processo decisionale o la scelta dei destinatari del servizio attraverso la struttura, la progettazione o le funzionalità di un’interfaccia online o di una parte della stessa. Ciò dovrebbe comprendere, a titolo non esaustivo, le scelte di progettazione a carattere di sfruttamento volte a indirizzare il destinatario verso azioni che apportano benefici al fornitore di piattaforme online, ma che possono non essere nell’interesse dei destinatari, presentando le scelte in maniera non neutrale, ad esempio attribuendo maggiore rilevanza a talune scelte attraverso componenti visive, auditive o di altro tipo nel chiedere al destinatario del servizio di prendere una decisione.
Dovrebbe inoltre includere la richiesta reiterata a un destinatario del servizio di effettuare una scelta qualora tale scelta sia già stata effettuata, rendendo la procedura di cancellazione di un servizio notevolmente più complessa di quella di aderirvi, o rendendo talune scelte più difficili o dispendiose in termini di tempo rispetto ad altre, rendendo irragionevolmente difficile interrompere gli acquisti o uscire da una determinata piattaforma online consentendo ai consumatori di concludere contratti a distanza con operatori commerciali e ingannando i destinatari del servizio spingendoli a prendere decisioni in merito a transazioni, o tramite impostazioni predefinite che sono molto difficili da modificare, e distorcere così in modo irragionevole il processo decisionale del destinatario del servizio, in modo tale da sovvertirne e comprometterne l’autonomia, il processo decisionale e la scelta. Tuttavia, le norme per prevenire i percorsi oscuri non dovrebbero essere intese come un impedimento ai prestatori di servizi di interagire direttamente con i destinatari del servizio e di offrire loro servizi nuovi o aggiuntivi. Le pratiche legittime, ad esempio nel campo della pubblicità, conformi al diritto dell’Unione non dovrebbero essere considerate di per sé percorsi oscuri. Tali norme sui percorsi oscuri dovrebbero essere interpretate come atte a disciplinare le pratiche vietate che rientrano nell’ambito di applicazione del presente regolamento nella misura in cui tali pratiche non siano già contemplate dalla direttiva 2005/29/CE o dal regolamento (UE) 2016/679”.
Il contrasto ai dark patterns non è una novità: già l’EDPB, con le linee guida del 2022, aveva indicato in accountability, trasparenza e privacy by design i tre principi che rilevano, sotto il profilo della data protection, nella gestione dei dark patterns.
Cosa devono fare le aziende per ottemperare correttamente
Il principio dell’interfaccia compliant fin dalla progettazione resta fondamentale: le piattaforme dovranno prevedere percorsi chiari e trasparenti, senza “sorprese” per l’utente.
Le condizioni generali di contratto (terms and conditions, o T&C), dovranno essere rese chiare e sintetiche, oltre che equilibrate nei confronti dell’utente del servizio digitale.
Potrebbe essere opportuno impostare un sistema misto, di testo e grafica, mediante icone che richiamano l’attenzione dell’utente ad alcune specifiche previsioni contrattuali.
In generale, un check di tutte le policy della piattaforma e dei modelli di T&C sarà essenziale per adeguare il sistema sotto il profilo strettamente legal della piattaforma; sotto il profilo dell’interfaccia, invece, le piattaforme che erogano servizi digitali dovranno semplificare il più possibile i vari “percorsi” e aggiungere una “mappa del sito” può essere un buon inizio.
Conclusioni
Da ora in avanti il DSA entrerà sempre di più nella vita concreta degli utenti e degli operatori dei servizi digitali, aumentando le tutele per i primi e gli obblighi – ma in questo caso si parla di sacrosanti divieti – per i secondi.
L’articolo 25 è una norma di civiltà e configura una tutela avanzata per gli utenti dei servizi online e con questa previsione regolamentare l’Unione si è spinta molto oltre risetto alla soft law rappresentata dalle linee guida dell’EDPB.
In poche parole, gli obblighi e le tutele previste, ora, sono estremamente più strutturate e serie rispetto a quanto l’EDPB no avesse pensato e c’è da credere che l’obiettivo di un ambiente online più trasparente verrà conseguito.