Poche ore dopo che il sito del Corriere della Sera ha attivato il suo paywall, un meccanismo per permettere il pieno accesso ai contenuti del sito solo agli utenti paganti, in rete hanno cominciato a circolare diversi sistemi – tutti abbastanza prevedibili  – con cui è possibile eludere il limite di 20 articoli gratuiti al mese.

Si va dalla cancellazione del cookie di sessione del browser, alla navigazione in modalità anonima, fino al ricorso alla cache di Google, che tiene sempre in archivio una copia del testo di ogni pagina web. Qualcuno, nello scrivere l’articolo che spiega come leggere gratis il Corriere si sarà pure sentito un hacker.

A questo punto, la parola è passata ai criticoni dei social network, che hanno cominciato a far dileggio delle misure di sicurezza adottate sul sito, così facilmente aggirabili, e a denunciare l’inadeguatezza delle aziende italiane per tutto quel che riguarda la tecnologia e il digitale.

Del resto, è mai possibile che chi ha progettato quella soluzione non sappia che basta qualche comando del browser ad aggirare il sistema su cui un gruppo editoriale sta basando la sua strategia per i prossimi anni?

Io non so chi abbia sviluppato il paywall del Corriere, ma sono pronto a giurare che no, non è possibile che non lo sapesse.

Possibile che al Corriere non sappiano quanto è facile bucare il loro paywall? No, non è possibile. 

Sono altresì convinto che nel reparto marketing del Corriere abbiano un’idea piuttosto chiara anche del numero di persone che useranno questi sistemi, e magari anche del loro profilo demografico.

E che il modo in cui funziona il sistema è esattamente quello previsto.

Il paywall permeabile

Prima di tutto, sfatiamo la supposta inferiorità tecnologica italiana, perché i paywall dei maggiori quotidiani americani e mondiali sono tutti in qualche modo aggirabili e hanno limiti più o meno flessibili. È una precisa strategia che ha persino un nome (permeable paywall).

La parte esplicita e dichiarata della strategia, prevede quel che viene comunicato al lettore: per esempio, che ha a disposizione gratuitamente solo tot articoli al mese o al giorno, e poi dovrà sottoscrivere un abbonamento.

Una completa strategia di permeabile paywall però è composta anche da parti non dichiarate. Decisioni che vengono prese dall’editore su quanto flessibili debbano essere i limiti e quanto robuste le misure di sicurezza per farli rispettare.

In questo tipo di decisioni entrano in gioco molti fattori. Eccone alcuni:

1             Preservare il mix di ricavi: abbonamenti e pubblicità

Anche se i ricavi pubblicitari sono  stagnanti, un editore online che fino a ieri si è basato su di essi non può pensare di rinunciarvi da un momento all’altro. Una fetta dei lettori non pagherà mai per l’accesso al sito, neanche se costasse un euro all’anno. È necessario che possano continuare a visitare il sito per non far crollare istantaneamente il numero di visualizzazioni di pagine (e di banner).

2             Evitare un’escalation tecnologica

Là fuori c’è molta gente che – un po’ per curiosità, un po’ per sfida e un po’ per profitto – è disposta a spendere tempo ed energie per superare barriere di sicurezza, e prima o poi ci riuscirà.

Tentare di star dietro agli hacker, tappando una falla dopo l’altra e adottando misure sempre più robuste, rischia di far alzare i costi di sviluppo e gestione sistemistica in modo progressivo e potenzialmente imprevedibile.

3             Contenere le intrusioni in superficie

Più si irrobustisce un sistema di sicurezza, e più a fondo l’hacker dovrà scavare per riuscire a violarlo. È meglio permettere di leggere qualche pagina web a sbafo svuotando la cache del browser, o rischiare che per farlo a qualcuno venga in mente di andare a modificare i record nel database degli abbonati?

4             Evitare i mercati clandestini

Al loro esordio, molte app per leggere le riviste sfogliabili su tablet, specialmente quelle per iOS, promettevano di garantire l’inviolabilità del contenuto. L’intero concetto di Digital Rights Management, però, è basato su una contraddizione intrinseca: pretende di limitare o bloccare l’accesso al contenuto di un messaggio non a soggetti terzi, bensì al suo effettivo destinatario finale: il lettore.

Se posso accedere a un contenuto digitale, posso sempre trovare qualche metodo per sbloccarlo. Per questo motivo sono nati siti dove ogni mattina alle 7:30 è possibile trovare i pdf di tutti i principali quotidiani internazionali e italiani, edizioni locali comprese, disponibili per il download e in formato aperto.

Oltre a guadagnare dall’esposizione di propri banner, questi siti spesso chiedono donazioni o non addirittura il pagamento di un abbonamento (“per sostenere i costi degli abbonamenti”, dicono), attivando quindi a loro volta un paywall.

Di nuovo, meglio tenere quei lettori sul proprio sito e mostrargli qualche banner (adblock permettendo…), o alimentare simili mercati clandestini?

5             Non compromettere l’esperienza d’uso degli utenti paganti

Più robusto e raffinato è un sistema di protezione dei contenuti, e più è probabile che le sue maglie filtrino anche utenti che hanno pagato per ottenere quel contenuto ma per qualche motivo: eccezioni nella configurazione del software, difficoltà dell’utente nell’uso di diversi e complicati sistemi di autenticazione, installazione di certificati digitali, uso di token e via discorrendo.

Meglio permettere la visione di qualche pagina a chi non ne avrebbe titolo, che far scappare un cliente pagante, dopo che magari si è lamentato della qualità del servizio con tutti i suoi contatti su Facebook, Twitter e LinkedIn.

È successo più volte, per esempio (ops!) anche con l’app iPad dell’edizione Premium del Corriere della Sera.

6             Protezioni più robuste potrebbero non essere legali

Se si vuole limitare parzialmente l’accesso a un sito è necessario riconoscere l’utente. Se si vuole evitare che l’utente sia obbligato a registrarsi, non sono molti i modi per identificarlo:

  • Cookie: il sistema più semplice e più vulnerabile.
  • Indirizzo IP: troppi dispositivi escono con un singolo IP; tanti altri utenti cambiano IP più volte al giorno. Non è sensato, almeno da solo.
  • Browser fingerprinting: con tutte le possibili variabili di versioni, sistemi operativi, plugin, estensioni e font installati, quasi ogni installazione browser è diversa dalle altre, e rende quindi gli utenti potenzialmente riconoscibili in rete. Il sistema ha una certa quota di “falsi positivi” (possono esistere due versioni effettivamente uguali, e questo accade spesso nelle aziende), ma soprattutto è una pratica considerata borderline (o proprio over-the-line) per quanto riguarda le implicazioni sulla privacy. A differenza dei cookie, non è possibile per l’utente “accettare o negare” il tracciamento con questo sistema, cancellare i cookie o abilitare una navigazione anonima, perché il browser sempre quello è.

Sicuri che sia preferibile finire nel mirino delle associazioni di consumatori per l’utilizzo di tecniche di profilazione occulta?

La critica a tutti i costi

Spiace vedere che le critiche per un peccato che non esiste, partite inizialmente dai forum e blog di informatica, siano poi approdate anche su testate importanti.

Di questi tempi, però, per i media è quasi impossibile resistere al gusto della polemica. E ai clic che essa può generare dai social network (perché anche i lettori, in effetti, condividono di più gli articoli polemici).

E quindi giù di giudizi su professionalità e competenze, senza fare nessuna delle valutazioni elencate qui sopra, senza informarsi su come funzionino i paywall di Wall Street Journal, New York Times o The Economist, valutando pro e contro delle diverse soluzioni.

Come diceva l’attore e produttore Matt Granger in un post su Facebook, di questi tempi in rete tutto viene sacrificato sull’altare della Polemica Necessaria: Approfondimento, ragionamento, analisi, obiettività, buon senso…

Questo, e non la vulnerabilità del paywall, è un interessante problema dei media di oggi e di cui varrebbe la pena discutere.

WHITEPAPER GRATUITI