Facebook e Instagram nei guai: il tracciamento fantasma su Android finisce sotto inchiesta in Spagna

Meta finisce sotto inchiesta in Spagna e l’immagine è quasi cinematografica: un ricercatore che guarda il suo schermo e nota qualcosa che non dovrebbe esserci. Un collegamento verso “localhost”, cioè verso il suo stesso telefono, mentre visita un sito qualunque. Un dettaglio che sembra un banale rumore di fondo, ma che nel giro di poche settimane diventa una pista lunga, piena di deviazioni, di sospetti e di porte locali aperte su Android. Le segnalazioni si moltiplicano nei forum degli sviluppatori, gli indizi crescono, entra in scena la crittografia di WebRTC e una serie di comunicazioni silenziose che non lasciano tracce esterne. E alla fine ciò che era solo un’anomalia tecnica arriva a scuotere la politica spagnola, costringendo l’impero digitale di Mark Zuckerberg a presentarsi davanti al Parlamento di Madrid per spiegare come Facebook e Instagram abbiano potuto usare per quasi un anno un meccanismo capace di collegare la cronologia web degli utenti alla loro identità, anche quando quei dati avrebbero dovuto essere inaccessibili.

La Commissione per gli affari economici e la trasformazione digitale del Congreso de los Diputados ha convocato i vertici di Meta per chiarire se quel ponte invisibile tra il browser e le app sia stato, come sostengono i ricercatori, uno strumento sistematico di tracciamento. Il premier Pedro Sánchez, annunciando la stretta, ha detto con la solennità che piace ai Palazzi: “In Spagna, la legge è al di sopra di qualsiasi algoritmo”. Un messaggio diretto, non solo all’azienda di Menlo Park, ma a tutto il settore digitale europeo. Meta, nel momento dell’annuncio, ha preferito non fiatare.

La vicenda nasce da un comportamento anomalo del Meta Pixel sui dispositivi Android. Alcune app del gruppo di Mark Zuckerberg, tra cui Facebook e Instagram, risultano “in ascolto” su porte locali del telefono. Quando un utente visitava un sito che ospitava il Meta Pixel, lo script avviava una comunicazione verso quegli indirizzi interni — 127.0.0.1, la radice di casa — aprendo un canale privato tra web e app. Da lì passavano frammenti della navigazione: URL, referrer, eventi, cookie, identificatori come il famigerato _fbp o l’Android Advertising ID. Tutto quanto serve per capire chi sei, cosa guardi, quanto resti su una pagina, cosa compri e quale pubblicità sarà più efficace per te. Il tutto aggirando senza sforzo la cancellazione dei cookie, la modalità in incognito, perfino le VPN, che non possono nulla contro un traffico che non esce mai dal dispositivo. Gli studiosi hanno osservato anche l’uso di tecniche WebRTC e manipolazioni dell’SDP per trasferire gli identificatori dal browser all’app. E non è stata solo Meta: app del gruppo Yandex hanno messo in campo strategie simili, diverse nel metodo ma identiche nello scopo — consolidare dati di navigazione e profili del dispositivo.

Secondo il team accademico, tutto comincia intorno a settembre 2024 e prosegue fino all’inizio dell’estate 2025. Poi arriva la divulgazione responsabile delle ricerche e qualcosa si spezza: Meta disattiva i collegamenti a localhost, i browser rilasciano patch e blocchi su alcune porte. Misure rapide ma insufficienti, avvertono gli studiosi: se il sistema consente comunicazioni interne così permissive, basta cambiare numero di porta e lo stratagemma torna a funzionare. Il vero problema è Android, che permette a qualsiasi app con accesso alla rete di aprire socket locali e ricevere traffico interno. Una falla strutturale, non una semplice svista.

La politica spagnola coglie il punto: questa non è una disputa tecnica per addetti ai lavori, è una potenziale violazione dei diritti digitali di milioni di cittadini. E arriva in un’Europa che ha già sanzionato Meta, compresa una multa monstre da 798 milioni di euro nel 2024 per pratiche anticoncorrenziali legate a Facebook Marketplace. Se le accuse fossero confermate, il perimetro normativo violato sarebbe ampio: GDPR, Direttiva ePrivacy, Digital Markets Act e Digital Services Act. Per un’azienda considerata “gatekeeper”, le conseguenze sarebbero pesanti. E soprattutto non si tratterebbe solo di una questione spagnola, ma di un precedente per tutto il continente.

Al momento, Meta continua a non commentare, mentre i ricercatori — Günes Acar della Radboud University, Narseo Vallina-Rodríguez di IMDEA Networks e Tim Vlummens del COSIC di KU Leuven — hanno pubblicato prove, analisi e concetti dimostrativi che mostrano come il Pixel e gli strumenti Yandex sfruttassero il canale locale. È stato proprio Acar, per primo, a notare su Android un sito legittimo con Meta Pixel che tentava una connessione verso una porta locale: la miccia che ha fatto esplodere il caso. Gli studiosi avvertono che il problema non riguarda solo Meta, ma un intero ecosistema in cui browser e app vivono sullo stesso dispositivo e comunicano più di quanto l’utente immagini.

L’aspetto più inquietante per il grande pubblico è la totale inefficacia delle protezioni classiche. Incognito, VPN, cookie cancellati, logout: nulla serve se il tracciamento si consuma dentro il telefono, senza passare per canali che la VPN possa incapsulare o il browser possa controllare. In sostanza, anche quando un utente credeva di “non lasciare tracce”, qualcun altro poteva ricucire la sua identità navigazionale con quella dell’app. Una possibilità che, da sola, basta a giustificare un’inchiesta parlamentare.

La Commissione del Congreso ricostruirà ora la timeline completa e ascolterà i protagonisti: Meta da una parte, i ricercatori dall’altra. In parallelo, è probabile che si muovano anche l’autorità spagnola per la privacy AEPD, la Commissione europea per gli aspetti DMA/DSA e il Comitato europeo per la protezione dei dati. Le sanzioni, in caso di conferme, possono arrivare fino al 4% del fatturato globale annuo, oltre a obblighi correttivi e restrizioni alle pratiche pubblicitarie.

Sul fronte tecnico, dopo la divulgazione tra il 3 e il 5 giugno 2025, i browser hanno inserito blocchi specifici e limitazioni all’uso di WebRTC per trasferire identificatori. Meta avrebbe rimosso dal Pixel le parti di codice che dialogavano con localhost entro i primi giorni di giugno. Ma il problema, dicono gli esperti, è che questi interventi sono chirurgici e dunque, per definizione, aggirabili. Se non cambia l’architettura di Android, basterà un’altra idea creativa per riaprire il ponte tra web e app.

Il caso si inserisce in un contesto globale in cui le big tech sono sempre più osservate per i loro modelli pubblicitari e per l’uso intensivo dei dati. L’Europa, con GDPR e DMA, ha le armi normative più avanzate per affrontare vicende come questa. E la Spagna, chiamando Meta in Parlamento, manda un segnale preciso: la trasparenza non è negoziabile, nemmeno per colossi che muovono miliardi e dettano tendenze digitali.

Le domande aperte restano molte. Quanto è stato esteso l’utilizzo del canale locale su Android? Quanti siti lo hanno attivato attraverso il Meta Pixel? Gli utenti erano stati informati, come richiede il GDPR? I publisher che usano il Pixel erano consapevoli del possibile tracciamento? E, soprattutto, le mitigazioni introdotte ora basteranno a impedire nuovi abusi? Gli studiosi invitano alla prudenza: l’architettura che ha consentito il fenomeno è ancora lì.

In attesa dei chiarimenti istituzionali, agli utenti resta ben poco da fare se non limitare i permessi delle app, scegliere browser più restrittivi, aggiornare costantemente software e impostazioni. Ma la vicenda ha già dimostrato che il controllo individuale è fragile quando i meccanismi di tracciamento avvengono all’interno del dispositivo, fuori dallo sguardo dell’utente e in zone dove le regole non sono ancora abbastanza chiare.

La scelta della Spagna di mettere Meta davanti ai rappresentanti eletti non è solo un atto di accusa tecnologica, è una presa di posizione politica. È l’idea che i cittadini non possano essere pedine silenziose di una pubblicità sempre più invasiva e che le piattaforme debbano rispondere pubblicamente di ciò che costruiscono, non solo quando vengono scoperte. Se il “ponte fantasma” tra web e app fosse davvero una forma di tracciamento senza consenso, l’Europa avrebbe davanti un’occasione per riscrivere gli standard di protezione degli utenti su mobile. E Meta, per l’ennesima volta, si ritroverebbe a fare i conti con un continente che non ha alcuna intenzione di accettare la logica del fatto compiuto.