.jpg)
L'architettura Android è stata costruita con protezioni specifiche per impedire alle applicazioni di comunicare tra loro senza autorizzazione, ma Meta ha escogitato un sistema sofisticato per aggirare completamente queste barriere di sicurezza. La tecnica, battezzata "localhost tracking" dai ricercatori che l'hanno scoperta, permetteva al colosso dei social media di collegare l'identità reale degli utenti alle loro attività di navigazione web, anche quando questi utilizzavano VPN, modalità incognito e rifiutavano sistematicamente i cookie. Il risultato è un meccanismo di sorveglianza digitale che funzionava indipendentemente dalle precauzioni adottate dagli utenti per proteggere la propria privacy.
La portata dello scandalo emerge dai numeri: il 22% dei siti web più visitati al mondo risulta coinvolto nel sistema. Solo negli Stati Uniti, oltre 17.000 siti web equipaggiati con Meta Pixel hanno attivato questo tracciamento senza consenso per almeno nove mesi, raggiungendo miliardi di utenti inconsapevoli. La tecnica sfruttava due canali invisibili di comunicazione: le app Facebook e Instagram che rimanevano attive in background sui dispositivi mobili, e gli script di tracciamento integrati nei browser, creando un ponte di dati che bypassava completamente le protezioni del sistema operativo.
La genialità perversa del sistema risiede nella sua capacità di far dialogare componenti che dovrebbero rimanere completamente isolati. Quando un utente apriva Facebook o Instagram, l'applicazione creava automaticamente un servizio in background che rimaneva in ascolto su specifiche porte di rete locali - la 12387 o 12388 per il protocollo TCP, e la prima porta disponibile nell'intervallo 12580-12585 per UDP. Questo meccanismo si attivava solo se l'utente aveva effettuato l'accesso con le proprie credenziali nell'app, ma una volta stabilito, continuava a funzionare anche quando l'applicazione non era utilizzata attivamente.
Il secondo elemento del puzzle entrava in gioco quando l'utente navigava con il browser e visitava un sito web dotato di Meta Pixel. Questo script, teoricamente progettato per raccogliere dati di marketing con il consenso dell'utente, iniziava invece immediatamente il processo di localhost tracking, ancora prima che venisse richiesta qualsiasi autorizzazione. Il Pixel utilizzava una tecnica chiamata WebRTC, normalmente impiegata per chiamate vocali e video, modificandola attraverso un processo denominato "SDP Munging" per trasmettere il cookie identificativo _fbp direttamente all'app in ascolto.
L'elemento più inquietante del processo era la sua duplice natura: mentre il Pixel inviava segretamente le informazioni all'app locale, simultaneamente trasmetteva gli stessi dati ai server di Meta attraverso internet, includendo l'URL visitato, i metadati del browser e del sistema operativo, e il tipo di evento eseguito. L'app riceveva così il cookie _fbp e lo combinava immediatamente con gli identificativi persistenti dell'account reale dell'utente, inviando il tutto ai server Meta tramite una mutazione GraphQL.
Le implicazioni legali di questa scoperta sono senza precedenti nella storia della regolamentazione digitale europea. Meta si trova simultaneamente esposta a violazioni di tre diverse normative: GDPR, Digital Services Act (DSA) e Digital Markets Act (DMA), ognuna delle quali protegge interessi legali distinti e può quindi essere applicata cumulativamente. Il rischio finanziario teorico combinato raggiunge i 32 miliardi di euro, equivalenti al 20% del fatturato globale annuale dell'azienda che nel 2024 ha superato i 164 miliardi di euro.
La violazione del GDPR appare evidente nella mancanza di consenso informato per il trattamento dei dati personali destinati alla personalizzazione pubblicitaria, oltre alla violazione dei principi di minimizzazione dei dati e privacy by design. La sanzione può arrivare fino al 4% del fatturato globale, ma è solo l'inizio del problema normativo per Meta. Il Digital Services Act introduce una complicazione ulteriore: l'articolo 26 vieta esplicitamente la pubblicità personalizzata basata su profili creati utilizzando categorie speciali di dati personali, come orientamento sessuale, opinioni politiche o informazioni sanitarie.
La violazione più grave riguarda però il Digital Markets Act, che nell'articolo 5.2 proibisce specificamente la combinazione di dati personali tra servizi di piattaforma core senza consenso esplicito dell'utente. La tecnica del localhost tracking combinava dati almeno tra Facebook e Instagram, potenzialmente estendendosi anche a WhatsApp e Messenger. Le sanzioni DMA possono raggiungere il 10% del fatturato globale per la prima violazione, raddoppiando al 20% in caso di recidiva, rappresentando il rischio finanziario più elevato mai affrontato da un'azienda tecnologica.
I dati raccolti attraverso questo sistema fornivano a Meta un quadro completo e dettagliato del comportamento online degli utenti. La cronologia di navigazione completa con URL specifici, i prodotti aggiunti al carrello e gli acquisti effettuati, le registrazioni sui siti web e i moduli compilati, i pattern comportamentali temporali attraverso siti web e app, tutto veniva collegato direttamente alle identità reali sui social network. La portata della sorveglianza era totale, indipendentemente dalle misure di protezione adottate dagli utenti.
Gli unici utenti che sfuggivano a questo meccanismo erano coloro che accedevano a Facebook e Instagram esclusivamente via web senza installare le app sui telefoni, chi navigava su computer desktop o utilizzava dispositivi iOS, e chi utilizzava esclusivamente browser come Brave o il motore di ricerca DuckDuckGo su mobile. Per tutti gli altri, ogni sessione di navigazione diventava automaticamente parte del profilo pubblicitario di Meta, anche quando l'intenzione era mantenere l'anonimato.
La scoperta di questo sistema è merito di un gruppo di ricercatori - Tim Vlummens, Narseo Vallina-Rodriguez, Nipuna Weerasekara, Gunes Acar e Aniketh Girish - che hanno documentato meticolosamente ogni aspetto tecnico della violazione. La loro ricerca ha rivelato che il meccanismo era attivo da almeno nove mesi per Meta e addirittura otto anni per Yandex Metrica, che utilizzava una tecnica simile. La dimensione temporale della violazione amplifica significativamente le potenziali sanzioni, considerando il volume di dati raccolti illegalmente nel corso di questi periodi.
Meta dovrà ora affrontare non solo le sanzioni finanziarie, ma anche le conseguenze reputazionali di quella che potrebbe diventare la più grande violazione della privacy mai documentata. L'azienda aveva già ricevuto una multa DMA di 200 milioni di euro nell'aprile 2025 per il suo modello "paga o acconsenti", e detiene il record europeo per le multe GDPR.
