L'informativa sulla privacy di Turnstile manca di trasparenza.
Cloudflare non specifica chiaramente quali dati vengano raccolti, per quanto tempo vengano conservati né quale sia il loro esatto utilizzo al di là del rilevamento dei bot.
I gestori del sito web si assumono la piena responsabilità della conformità.
L'utilizzo di Turnstile non garantisce automaticamente la conformità del tuo sito al GDPR e al CCPA; devi effettuare valutazioni d'impatto sulla protezione dei dati (DPIA), stabilire la base del legittimo interesse e garantire la presenza di accordi adeguati in materia di trattamento dei dati.
Il codice Cookies e le ambiguità relative al trasferimento dei dati comportano un rischio legale.
Il modello Turnstile fa riferimento alla politica generale cookie del modello Cloudflare anziché a una politica specifica, e l'incomprensibilità dell'instradamento dei dati tra i server dell'UE e degli Stati Uniti solleva preoccupazioni in merito alla conformità con la sentenza Schrems II.
Friendly Captcha garantisce la conformità al principio della "privacy by design".
La tecnologia Proof-of-Work elabora i dati esclusivamente sui dispositivi degli utenti, con politiche chiare, funzionamento esclusivo in modalità cookies, cancellazione automatica dopo 30 giorni e nessun trasferimento internazionale dei dati. Prova Friendly Captcha ›
La protezione dei siti web dalle attività malevole dei bot è diventata essenziale e ha dimostrato la sua importanza. Tuttavia, gli strumenti che utilizziamo per combattere i bot spesso sollevano preoccupazioni per la privacy.
Cloudflare Turnstile si propone come un'alternativa intuitiva e attenta alla privacy rispetto alle soluzioni tradizionali come Google reCAPTCHA. Ma mantiene davvero le promesse fatte in materia di privacy?
Questo articolo analizza la realtà che si cela dietro l'appendice sulla privacy e le pratiche di raccolta dati di Turnstile, la sua conformità alle normative sulla privacy, come il Regolamento generale sulla protezione dei dati, e le responsabilità che incombono sui gestori dei siti web.
Il guardiano silenzioso: come funziona il Turnstile
Turnstile funziona silenziosamente in background quando è attivata la sua modalità invisibile. Questo approccio, basato sulle sfide JavaScript, appare inizialmente più intuitivo e attento alla privacy. L'utente non vede una sfida CAPTCHA tradizionale né deve risolverne una. In effetti, l'esperienza CAPTCHA, che si integra perfettamente, sembra essere una buona opzione per chi desidera ridurre gli attriti senza sacrificare la sicurezza.
Tuttavia, l'invisibilità di Turnstile crea un falso senso di privacy. Ciò che accade dietro le quinte racconta una storia ben diversa.
Turnstile Informativa sulla privacy: pratiche di raccolta dati poco chiare
L'informativa sulla privacy di Cloudflare e Turnstile menziona la raccolta di una "varietà" di segnali lato client per garantire il corretto funzionamento del servizio e proteggere dagli automatismi. Ma cosa significa "varietà" in termini pratici?
L'informativa sulla privacy di Cloudflare manca di precisione e non è conforme al GDPR principio di trasparenza. Il documento Cloudflare non fornisce un elenco dettagliato dei dati raccolti, della durata della loro conservazione né delle modalità precise del loro utilizzo al di là del rilevamento dei bot.
Anziché disporre di una politica sulla privacy specifica per Turnstile, Cloudflare rimanda alla politica generale cookie. Ciò crea un'esperienza frammentaria per gli utenti attenti alla privacy e per i gestori di siti web che cercano di comprendere i propri obblighi di conformità. È necessario mettere insieme le informazioni provenienti da diversi documenti per ottenere un quadro completo – ammesso che si riesca a trovarle.
Quali segnali rileva il Turnstile?
Secondo la documentazione relativa allo standard Cloudflare, ciò comprende le caratteristiche del browser, i modelli di interazione dell'utente e le informazioni sul dispositivo. Tuttavia, i parametri esatti rimangono poco chiari. I gestori dei siti web segnalano una certa confusione riguardo al fatto che ciò includa indirizzi IP, impronte digitali dei dispositivi o dati di tracciamento comportamentale che potrebbero identificare gli utenti in modo indiretto.
Un utente di Reddit nella community r/GDPR espressa questa preoccupazione direttamente. Questo scetticismo riflette un sentimento diffuso tra i sostenitori della privacy in Europa e mette in luce una questione importante: per quanto riguarda la sicurezza dei siti web, Cloudflare opera in qualità di responsabile del trattamento dei dati per conto del proprietario del sito web (il titolare del trattamento), avendo accesso alle informazioni dei visitatori.
Un esempio documentato: Cloudflare Informativa sulla privacy ufficiale Turnstile elenchi indirizzo IP, impronta TLS, User-Agent e Sitekey, ma non dati del renderer WebGL, nonostante analisi indipendente e diagnostica segnalata dall'utente Il codice Turnstile verifica attivamente il modello della GPU e le stringhe del driver.
Le stringhe del renderer WebGL sono legate all'hardware e stabili per tutta la sessione. Si tratta di un identificatore persistente che funziona anche senza cookies. Sotto il Linee Guida 2/2023 del EDPB Ai sensi dell'articolo 5, paragrafo 3, della direttiva e-privacy, tali segnali di fingerprinting richiedono una base giuridica. L'onere della conformità ricade sugli operatori, per i segnali che Cloudflare non divulga.
I modelli Cloudflare e Turnstile utilizzano il modello Cookies?
Turnstile imposta cookies per il rilevamento dei bot e la gestione delle sessioni. Cloudflare afferma che Turnstile utilizza i "segnali" esclusivamente a fini di protezione rigorosa contro i bot. Questi sono classificati come cookies "strettamente necessari" ai sensi di GDPR e la direttiva ePrivacy, il che significa che tecnicamente non richiedono il consenso dell'utente.
In generale, i modelli cookies rappresentano un punto di confusione per quanto riguarda l'utilizzo dei modelli Turnstile, poiché il servizio Turnstile non dispone di una politica specifica per il modello cookie e i link alla politica generale Cloudflare. La politica generale cookie di Cloudflare è lunga e complessa e riguarda tutti i servizi Cloudflare, menzionando il targeting e le prestazioni del modello cookies. Questo passaggio da una politica generale a un prodotto specifico all'interno della famiglia Cloudflare è una questione che non è mai stata chiarita.
Cosa significa questo per gli operatori di siti web?
I gestori di siti web sono tenuti a consultare questa documentazione per comprendere esattamente quali siano i set cookies e Turnstile, la loro finalità e i relativi periodi di conservazione. Per molti gestori, si tratta di un compito particolarmente impegnativo.
Negli Stati Uniti, dove le normative sulla privacy sono meno rigorose rispetto all'Europa, questa mancanza di chiarezza potrebbe sembrare meno pressante. Tuttavia, le aziende americane servono sempre più utenti europei e devono rispettare il GDPR dell'Unione Europea. indipendentemente dalla loro posizione. Inoltre, leggi sulla privacy a livello statale come il California Consumer Privacy Act (CCPA) stanno creando nuovi requisiti di conformità anche negli Stati Uniti.
Infine, è necessario menzionare una particolarità delle mutazioni Cloudflare e Turnstile. La c-dati il campo consente di inviare dati del cliente dal client alla risposta di verifica al backend. Questa flessibilità, mentre utile per gli sviluppatori, aggiunge un altro strato di potenziale esposizione dei dati se non gestiti con attenzione.
L'Operatore è Responsabile della Conformità al GDPR
Cloudflare Turnstile si basa sull'interesse legittimo come fondamento giuridico per la protezione dai bot, anziché sul consenso dell'utente. Si tratta di una distinzione fondamentale. Ai sensi del GDPR, il “legittimo interesse” consente alle aziende di trattare i dati personali senza il consenso esplicito, a condizione che il trattamento sia necessario e proporzionato. Cloudflare sostiene quindi che la prevenzione degli attacchi dei bot e la tutela della sicurezza del sito web costituiscano un legittimo interesse.
In apparenza, questo suona ragionevole. Protezione dei bot è innegabilmente importante. Tuttavia, l'onere della conformità non si esaurisce con le affermazioni di legittimità e necessità tecnica avanzate da Cloudflare. I gestori dei siti web rimangono pienamente responsabili per il quadro normativo completo, tra cui:
Stabilire una base di interesse legittimo per il tuo caso d'uso specifico
Condurre una Valutazione d'Impatto sulla Protezione dei Dati (DPIA)
Aggiornamento dell'informativa sulla privacy con informazioni chiare sui sistemi Turnstile
Garantire adeguati Accordi sul Trattamento dei Dati (DPA) in essere
Esaminare tutti i set cookies definiti da Turnstile e documentarne le finalità
Monitoraggio delle pratiche di conformità di Cloudflare nel corso del tempo
In altre parole, Cloudflare fornisce lo strumento, ma sei tu a doverne rispondere. Si tratta di un punto fondamentale spesso trascurato dai webmaster, i quali ritengono che l'utilizzo di un servizio “conforme al GDPR” renda automaticamente conforme anche il loro sito web.
Turnstile e la base giuridica del CCPA
Per la conformità alla CCPA negli Stati Uniti, si applicano responsabilità simili. Sebbene la CCPA abbia requisiti inferiori rispetto al GDPR, richiede comunque trasparenza in merito alla raccolta dei dati e alla possibilità per i residenti in California di opporsi a determinati utilizzi dei dati. I gestori dei siti web devono garantire che le loro informative sulla privacy descrivano le pratiche di raccolta dei dati di Turnstile per conformarsi ai requisiti della CCPA.
Trasferimento dati e considerazioni internazionali
Un'altra complessità in materia di conformità deriva dai trasferimenti di dati. Cloudflare gestisce centri dati sia nell'UE che negli Stati Uniti. Quando Turnstile raccoglie dati dai visitatori europei, dove vengono conservati tali dati? davvero trattati? Sebbene Cloudflare dichiari di disporre di data center nell'Unione Europea, l'informativa sulla privacy non chiarisce se i dati vengano automaticamente indirizzati verso server europei o se possano essere trasferiti negli Stati Uniti.
Questo è importante perché il trasferimento di dati personali dall'UE agli Stati Uniti richiede meccanismi giuridici specifici, quali le clausole contrattuali tipo (SCC) o una decisione di adeguatezza. Il quadro normativo è rimasto incerto dopo la sentenza Schrems II, che ha messo in dubbio l'adeguatezza dei trasferimenti di dati verso gli Stati Uniti. Cloudflare deve disporre di meccanismi adeguati e i gestori dei siti web devono comprendere e documentare tali trasferimenti.
Per i gestori di siti web americani, questa è una preoccupazione minore a livello nazionale, ma coloro che si rivolgono a un pubblico internazionale dovrebbero essere consapevoli di queste complessità.
La domanda sulla condivisione dei dati
Cloudflare raccoglie segnali tecnici tramite Turnstile e, sebbene affermi di utilizzarli esclusivamente per il rilevamento dei bot, non è ancora del tutto chiaro in che modo tali dati vengano effettivamente impiegati.
Uno degli aspetti più preoccupanti di Turnstile è la questione della condivisione dei dati. Sebbene Cloudflare affermi di non utilizzare i dati di Turnstile a fini pubblicitari, non è chiaro se tali dati vengano conservati per scopi che vanno oltre il rilevamento dei bot. L'informativa sulla privacy di Cloudflare afferma che l'azienda elabora i segnali "per migliorare le capacità di rilevamento dei bot di Turnstile", ma la portata di questo processo di miglioramento e se esso comporti l'addestramento di modelli di machine learning rimane vaga.
Limitazioni e Aspettative Realistiche
Il modello Turnstile presenta effettivamente dei vantaggi concreti rispetto a soluzioni come reCAPTCHA. Raccoglie meno dati rispetto alla soluzione di Google, non utilizza i dati per la pubblicità e offre una migliore esperienza utente. Tuttavia, questi vantaggi comportano limitazioni importanti:
Turnstile non è del tutto trasparente riguardo alle proprie pratiche in materia di dati
Gli operatori del sito web si assumono la piena responsabilità della conformità
La mancanza di un'informativa sulla privacy dedicata crea confusione
I periodi di conservazione dei dati e gli scopi esatti del trattamento non sono chiari
Il potenziale utilizzo dei dati per l'addestramento dell'IA non è esplicitamente dichiarato
Un livello adeguato per la conformità generale richiede un impegno attivo e competenza legale
Per gli operatori di siti web con requisiti di privacy rigorosi o per il pubblico europeo ai sensi della direttiva ePrivacy, questi problemi rappresentano serie preoccupazioni.
L'alternativa Friendly Captcha
Il modello Friendly Captcha rappresenta un'alternativa interessante ai modelli Cloudflare e Turnstile.
Friendly Captcha è stata progettata appositamente ponendo al centro la privacy e la conformità al GDPR. La soluzione utilizza proof-of-work una tecnologia che funziona interamente sul dispositivo dell'utente: ai server di Friendly Captcha non vengono inviati dati oltre a quelli necessari per la verifica anti-bot.
Come si posiziona il modello Friendly Captcha rispetto ai modelli Cloudflare e Turnstile in termini di privacy?
| Preoccupazioni sulla privacy | Cloudflare Turnstile | Friendly Captcha |
|---|---|---|
|
Politica cookies chiara e specifica |
❌ |
✅ |
|
Utilizzo del Cookies |
Il modello cookies è operativo, ma si rimanda alla politica generale relativa al modello Cloudflare, in cui vengono menzionati gli obiettivi e le prestazioni del modello cookies |
✅ Funziona solo con cookies (__Host-x-frc-session, frc_sid, frc_sc, frc_rc, frc_sol). Nessun HTTP cookies Nessun dispositivo di terze parti cookies Nessuna prestazione cookies Senza pubblicità cookies |
|
Elaborazione dati |
Mancanza di trasparenza |
✅ Chiaro DPA |
|
Conformità GDPR e CCPA |
I gestori del sito web rimangono responsabili per la piena conformità. |
✅ Conformità completa per progettazione |
|
Trasferimento dati |
Trasferimento di dati ai sensi del Data Privacy Framework |
✅ Nessun trasferimento internazionale di dati |
|
Conservazione dei dati |
Vago “conformi alle finalità aziendali”, “per il tempo necessario”. |
Anonimizzazione dei dati con hashing unidirezionale ed eliminazione automatica entro 30 giorni. |
Per i gestori di siti web statunitensi, Friendly Captcha offre la stessa facilità di integrazione di Turnstile, ma con la certezza aggiuntiva che le pratiche in materia di privacy siano realmente in linea con le aspettative odierne. Con l'inasprimento delle normative sulla privacy negli Stati Uniti (tra cui il CCPA, le leggi statali e la potenziale legislazione federale), scegliere una soluzione che metta la privacy al primo posto garantisce al vostro sito web la conformità futura.
Conclusione: La conformità richiede più delle buone intenzioni
Cloudflare Turnstile non è di per sé non conforme al GDPR o al CCPA. Tuttavia, non è nemmeno automaticamente conforme. La soluzione CAPTCHA si basa sull'interesse legittimo come fondamento giuridico e riduce al minimo la raccolta di dati rispetto ad alternative come la reCAPTCHA. Si tratta di aspetti decisamente positivi.
Tuttavia, l'opacità delle pratiche di raccolta dati di Cloudflare e Turnstile, l'assenza di un'informativa sulla privacy specifica, l'utilizzo poco chiaro di cookie e le politiche di conservazione dei dati ambigue creano problemi di conformità che gli operatori dei siti web devono affrontare autonomamente. Ciò fa ricadere interamente sulle vostre spalle l'onere della responsabilità in materia di privacy.
Per gli operatori di siti web sia americani che europei, ciò significa:
Non dare per scontato che sia tutto a norma solo perché stai utilizzando i codici Cloudflare e Turnstile.
Prima di integrare i codici Cloudflare e Turnstile, dedica del tempo a comprendere i tuoi specifici obblighi di conformità.
Considera se una più trasparente Cloudflare CAPTCHA (alternativa) il modello Friendly Captcha sembra soddisfare meglio le tue esigenze
Se questo livello di lavoro di conformità ti sembra opprimente, o se dai priorità alla trasparenza genuina e al design orientato alla privacy, Friendly Captcha offre il percorso più semplice per la protezione dei bot senza i grattacapi legati alla conformità.
Grazie alle politiche chiare, al trattamento minimo dei dati e alle pratiche trasparenti di Friendly Captcha, puoi implementare con fiducia la protezione dai bot, sapendo che i tuoi obblighi in materia di privacy sono rispettati fin dalla progettazione, non per caso.
I gestori di siti web attenti alla privacy meritano strumenti che rendano la conformità semplice, non complessa. A tal proposito, Friendly Captcha si distingue come la soluzione più pratica per chi desidera una protezione dai bot senza compromessi. Prova subito Friendly Captcha!
FAQ
Cloudflare Turnstile non è conforme al GDPR per impostazione predefinita. Tuttavia, la sua modalità operativa gli consente di raccogliere informazioni nell'ambito del legittimo interesse della protezione anti-bot, il che significa che non è richiesto il consenso esplicito dell'utente. Il servizio applica il principio di minimizzazione dei dati, sebbene i tipi di “vari segnali” raccolti rimangano vaghi e imprecisi. Gli operatori dei siti web sono responsabili della configurazione di siti web conformi al GDPR, il che include l'aggiornamento delle informative sulla privacy e, se necessario, la firma di un DPA con Cloudflare.
Il modello CAPTCHA è Conformità al GDPR per impostazione predefinita e offre un'alternativa a Cloudflare Turnsite che mette al primo posto la privacy. I gestori dei siti web non devono compiere alcuna operazione per implementare il widget Friendly Captcha.
Cloudflare Turnstile è conforme al CCPA poiché riduce al minimo l'utilizzo dei dati e non li utilizza a fini pubblicitari, di tracciamento o di retargeting. Tuttavia, analogamente alla conformità al GDPR per gli utenti e i siti web europei, il gestore del sito web è responsabile di garantire la conformità nell'utilizzo di Cloudflare Turnstile, compresa la conoscenza degli impegni in materia di privacy.
Friendly Captcha è Conforme CCPA per impostazione predefinita e un'alternativa incentrata sulla privacy per utenti e operatori di siti web americani.
Cloudflare Turnstile garantisce una maggiore privacy rispetto a Google reCAPTCHA, eliminando il tracciamento cookies e riducendo in modo significativo la raccolta dei dati. Mentre reCAPTCHA utilizza l'ampio tracciamento cross-site di Google per creare profili utente, Turnstile si avvale esclusivamente di segnali del browser non identificativi, garantendo una più agevole conformità a normative quali il GDPR o il CCPA.
Friendly Captcha è il miglior servizio CAPTCHA per utenti e operatori alla ricerca di privacy accurata.
L'appendice sulla privacy relativa a Cloudflare e Turnstile è accessibile al pubblico. Tuttavia, l'informativa sulla privacy di Turnstile rimanda all'informativa generale sulla privacy di Cloudflare, in particolare per quanto riguarda l'utilizzo di cookie. L'informativa di Cloudflare relativa a cookie è ampia e complessa e copre tutti i suoi servizi. La distinzione tra Turnstile come prodotto e Cloudflare come famiglia di prodotti può essere difficile da comprendere e potrebbe complicare l'utilizzo di Turnstile.
Sì, i modelli Cloudflare e Turnstile trasmettono dati. I modelli Cloudflare e Turnstile trasmettono segnali relativi ai clienti, quali l'indirizzo IP del visitatore, i dati dell'user-agent, il fingerprinting TLS e gli input del browser, i metadati del sito (sitekey e origine della richiesta) e le richieste di verifica. Poiché vengono trattati dati personali, quali gli indirizzi IP, i gestori dei siti web deve rivelare questo nelle loro informative sulla privacy e garantire la conformità a normative quali il GDPR o il CCPA.
English 
German 
French 
Spanish 
Italian 
Portuguese