Web scraping: cos’è, come funziona e come difendersi

• Il web scraping è una tecnica informatica che consente di estrarre dati da siti web in modo automatizzato usando programmi software, noti come scraper o bot.
• Si tratta di una pratica consentita se non supera le soglie di legalità, per esempio se non viola le norme sulla privacy.
• Dal web scraping illegale ci si può difendere mettendo in pratica alcuni accorgimenti, come offuscare i dati e creare aree riservate. Se lo si subisce, si possono intraprendere alcune azioni legali.

Il web scraping è una tecnica che permette di estrarre dati da uno o più siti web per poi convertirli in modo automatico in informazioni di valore. Questa pratica è molto utilizzata, per esempio, dalle aziende, le quali possono servirsi dei dati raccolti per monitorare in tempo reale i prezzi, le promozioni e le disponibilità di magazzino dei concorrenti, così da creare strategie più conformi alle attuali tendenze del settore, al fine di massimizzare le vendite.

L’intelligenza artificiale ha rivoluzionato profondamente il web scraping, nel senso che ha reso l’estrazione dei dati più veloce, precisa e capace di gestire siti web complessi che prima erano inaccessibili ai bot tradizionali.

La liceità del web scraping è subordinata al modo con cui viene praticato e alle informazioni raccolte. In pratica, questa tecnica è legale se non comporta l’accesso a informazioni private o una violazione del copyright.

Se gestisci siti internet e sei stato vittima di web scraping illegale, ti invito a leggere questo articolo, che ti suggerisce alcune importanti azioni per poterti difendere.

Web scraping: cos’è e come funziona

Il web scraping è una tecnica di raccolta automatizzata di dati da siti internet. Questa pratica permette di estrapolare informazioni dal web in maniera sistematica, trasformando contenuti non strutturati in database organizzati e analizzabili.

Attualmente il web scraping è molto utilizzato ed è fondamentale, in quanto aiuta professionisti digitali e aziende nel monitoraggio di tendenze, analisi della concorrenza e sviluppo di strategie di marketing che si basano sui dati. Di base, non è sempre negativo, anzi può essere molto utile.

La pratica di web scraping consta di tre fasi:

1. crawling, cioè il software esamina le pagine web individuando le informazioni da raccogliere (è quello che fanno i motori di ricerca, per intenderci);
2. parsing, che consiste nell’analisi del codice HTML/XML per isolare i dati rilevanti;
3. estrazione, vale a dire la raccolta dei dati in un formato strutturato (database).

Approfondisci leggendo Friendly chargeback: come difendersi dalle truffe degli acquirenti nell’e-commerce

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza

Quando il web scraping non è legale

Il web scraping non è consentito nel momento in cui supera la soglia della liceità, ovvero nei seguenti casi:

• raccolta e utilizzo di dati personali a scopi commerciali senza il consenso degli interessati, in quanto ciò determina una violazione delle norme sulla privacy;
• violazione dei diritti di proprietà intellettuale, in caso di copia e utilizzo di contenuti protetti da copyright;
• uso delle informazioni raccolte per scopi fraudolenti, come la creazione di database di indirizzi destinati ad attività di phishing e spam.

Prima di iniziare a fare web scraping, è sempre bene leggere attentamente i termini di servizio del sito, al fine di verificare se la pratica è consentita. Chi si dedica a questa pratica dovrebbe configurare specifici strumenti volti a evitare il sovraccarico dei server di destinazione, impostando richieste a intervalli regolari e rispettando le best practice tecniche ed etiche.

Ti consigliamo di leggere anche: Violazioni del copyright e intelligenza artificiale: una sfida ancora aperta

L’intervento del Garante della Privacy sullo scraping illegale

In tema di web scraping, il Garante della privacy è intervenuto in più circostanze, come nel 2018, quando ha vietato a una società di inviare e-mail commerciali a liberi professionisti, i cui indirizzi di posta elettronica e PEC erano stati presi da elenchi di pubblico dominio, senza, però, il consenso dei proprietari.

Difatti, l’Autorità ha chiarito che l’attività di web scraping è illecita quando è effettuata senza una base giuridica idonea, in violazione dei principi del GDPR, soprattutto se i dati vengono utilizzati per scopi commerciali o per addestrare modelli di intelligenza artificiale generativa. Ha inoltre imposto ai titolari di pagine web l’adozione di misure tecniche e organizzative per contrastare la raccolta illegale dei dati.

Potrebbe interessarti anche: La segnalazione di condotte illecite: come viene tutelata la mia privacy nel caso del Whistleblowing

Come tutelarsi dal web scraping non autorizzato

Se sei un gestore di siti web, puoi ricorrere a diverse soluzioni preventive per difenderti dal web scraping non autorizzato. In questi casi è, infatti, possibile:

• creare aree riservate, alle quali è possibile accedere soltanto attraverso registrazione e autenticazione, proprio come funziona nei social network;
• utilizzare chapta o servizi anti-bot, che consentono di distinguere il traffico umano da quello automatizzato. Si possono anche configurare file robots.txt per indicare ai crawler quali aree del sito non devono essere esplorate e indicizzate;
• bloccare indirizzi IP sospetti, limitando in tal modo il traffico automatizzato non desiderato;
• offuscare i dati, modificando la struttura del codice HTML per rendere più difficile l’automazione. Alcuni siti fanno uso del lazy loading (caricamento dei dati su richiesta) o di API protette con token di accesso, che necessitano di autenticazione.

Altre soluzioni non meno importanti sono quelle basate su:

1. ingerprinting del browser, che permettono di identificare e bloccare agenti automatizzati sulla base del comportamento di navigazione;
2. tecniche di rate limiting e monitoraggio del traffico, che consentono di identificare pattern sospetti e intervenire in maniera tempestiva.

Leggi anche: Dark Web: cos’è, come accedere e cosa si rischi

Cosa fare quando si subisce lo scraping illegale

Se, invece, sei vittima di web scraping illecito, puoi intraprendere diverse strade per difenderti. Nello specifico, si tratta di:

1. diffida all’autore dello scraping (se identificabile);
2. reclamo al Garante della Privacy;
3. causa civile ai fini del risarcimento danni;
4. denuncia alle Autorità.

Le analizziamo dettagliatamente di seguito.

Leggi anche: Pirateria online: cos’è e cosa cambia con la nuova legge

1. La diffida

Quando si subisce la pratica illecita del web scraping, è possibile innanzitutto rivolgersi all’autore (se identificabile) con una diffida da inviare tramite PEC, domandando la cessazione immediata dell’attività.

Per essere efficace, la diffida deve contenere i seguenti elementi essenziali:

• identificazione delle parti, cioè dati anagrafici/societari del mittente (titolare dei diritti) e del destinatario (lo scraper/sito web responsabile);
• descrizione della violazione: indicazione precisa degli URL del sito scraping, del tipo di dati estratti e dei comportamenti specifici ritenuti illegali;
• riferimento alle basi legali: menzione della violazione delle Condizioni Generali di Uso (Terms of Service) del sito, delle norme sul diritto d’autore o del GDPR (nell’ipotesi di scraping di dati personali);
• richiesta di interruzione attività, cioè l’intimazione a cessare immediatamente le attività di web scraping illecite;
• richiesta di cancellazione dei dati raccolti in forma illecita;
• termine perentorio, vale a dire l’indicazione di un numero limitato di giorni entro i quali adempiere alla richiesta (solitamente 7/14 giorni).

Potrebbe interessarti anche: Falsi guru finanziari: come difendersi dalle truffe sul web

2. Il reclamo al Garante della Privacy

Un’altra strada che puoi percorrere in caso di web scraping illegale è il reclamo al Garante della Privacy (art. 77 GDPR). Si tratta di un’azione formale per richiedere un intervento specifico dell’Autorità utilizzando il modulo ufficiale messo a disposizione sul sito del Garante. Il reclamo va inviato tramite PEC o raccomandata A/R.

L’Autorità avvia un’istruttoria per verificare la violazione del GDPR e del Codice Privacy e, in base alla gravità, può intervenire con sanzioni inibitorie, prescrittive o pecuniarie, oltre che ordinare la cancellazione dei dati. Il Garante decide sul reclamo entro 9 mesi dalla data di presentazione dello stesso.

Ti consigliamo di leggere anche: Diritto all’oblio: cos’è e come è cambiato con la riforma Cartabia

3. La causa civile per il risarcimento dei danni

Per chiedere il risarcimento del danno (economico e/o morale) per scraping illecito è necessario avviare un’azione legale presso l’autorità giudiziaria ordinaria, in quanto il Garante della Privacy non ha il potere di liquidare direttamente i danni.

Ai fini del risarcimento, devi raccogliere tutte le prove necessarie, cioè documentare dettagliatamente l’attività di scraping, i dati sottratti e l’eventuale danno subito. Devi poi rivolgersi a un avvocato esperto in diritto digitale e protezione dei dati personali, che ti guiderà nella valutazione del caso e nell’avvio della causa.

Leggi anche: Quando Cloudflare cade e Internet si ferma, la domanda è una sola: chi paga i danni?

4. La denuncia alle Autorità

Qualora dalla raccolta illecita di dati derivi la configurazione di reati, come truffa o furto d’identità, è possibile presentare la denuncia alla Polizia Postale (o alle altre Autorità) entro 3 mesi dal giorno della scoperta del fatto che costituisce reato. La denuncia deve essere dettagliata e contenere la descrizione dell’accaduto, i dati sottratti e le prove raccolte (come screenshot, link, ecc.).

Gli agenti della Polizia Postale, effettuando le dovute indagini tecniche, possono risalire al dispositivo, all’indirizzo IP e, conseguentemente, all’autore della raccolta illegale dei dati. Possono anche effettuare perquisizioni informatiche per sequestrare i database dove i dati sono stati salvati. In collaborazione con il Garante della Privacy, possono pure intervenire per far cessare l’attività, bloccando l’accesso ai bot o ai server responsabili del web scraping.

Potrebbe interessarti anche: Reato di furto di identità online: conseguenze, denuncia e risarcimento danni

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza