Cos’è un’impronta digitale del browser? Come funziona e quali sono i rischi.
La maggior parte delle persone immagina il tracciamento online come un cookie: un piccolo file che un sito web deposita nel browser e rilegge alla visita successiva. Il fingerprinting del browser, invece, non prevede l'utilizzo di cookie. Identifica l'utente leggendo le impostazioni che il browser fornisce già gratuitamente, come le dimensioni dello schermo, i font installati, la scheda grafica e il fuso orario. Combinando alcune decine di questi dettagli apparentemente insignificanti, il risultato è quasi univoco. Recenti ricerche collocano circa il 60% dei browser in questa categoria, senza bisogno di cookie, login o indirizzo IP. Quindi, cos'è un fingerprint del browser, perché è così difficile liberarsene e cosa significa per chiunque gestisca transazioni in criptovalute? Questa guida cercherà di rispondere a tutte queste domande.
Definizione e funzionamento dell'impronta digitale del browser.
L'impronta digitale del browser, a volte chiamata impronta digitale digitale, è un profilo creato a partire dalle caratteristiche tecniche che il dispositivo rivela ogni volta che carica una pagina: una forma di identificazione del dispositivo che funziona interamente senza file memorizzati. Si basa sulle normali informazioni del browser e sulla configurazione del sistema, e nessuna singola caratteristica può rivelare la tua identità. La risoluzione dello schermo è condivisa da milioni di persone, così come il sistema operativo. La sua efficacia risiede nella combinazione di questi elementi: accumulando un numero sufficiente di valori comuni, la probabilità che un'altra persona li corrisponda tutti contemporaneamente si riduce a zero.
I ricercatori misurano questo parametro in bit di entropia, che è semplicemente un modo per quantificare quanto un valore restringa il campo delle informazioni. Un moderno browser desktop divulga circa 12,1 bit in totale, secondo uno studio del 2025 pubblicato al Privacy Enhancing Technologies Symposium . Può sembrare poco, finché non si considera che ogni bit raddoppia approssimativamente il numero di persone che è possibile distinguere. La sola stringa della scheda grafica, letta tramite WebGL, contribuisce con quasi 6,8 di questi bit. Non si tratta di un problema nuovo. Quando l'EFF lo ha misurato per la prima volta, l'83,6% dei browser testati risultava univoco su un campione di 470.161 visitatori, e una replica del 2016 (un team diverso, stesso metodo) ha rilevato che la percentuale era salita all'89,4%.
Raccolta passiva versus raccolta attiva del segnale
Il fingerprinting si divide in due stili. La raccolta passiva legge automaticamente ciò che il browser invia: l'intestazione User-Agent, le lingue supportate, l'ordine delle intestazioni HTTP. Questo metodo di fingerprinting dello user agent è economico ma di per sé debole. Non viene eseguito nulla sul computer dell'utente. La raccolta attiva va oltre. Esegue del codice JavaScript che chiede silenziosamente al browser di disegnare un'immagine, riprodurre un campione audio silenzioso o elencare i font, misurando poi con precisione la risposta dell'hardware. I metodi attivi presentano molte più vulnerabilità, motivo per cui le tecniche più efficaci si basano tutte su script.
Perché l'unicità è in realtà solo matematica
Ecco il punto che confonde le persone. Un'impronta digitale non ha bisogno di essere segreta per funzionare. Ogni valore in essa contenuto è pubblico e lo si trasmette volontariamente. Ciò che rende una persona rintracciabile è che la specifica sequenza di dati è sufficientemente rara da identificare in modo univoco il dispositivo. Ecco perché l'unica vera difesa è quella di assomigliare a tutti gli altri, un punto su cui torneremo più avanti. Non si può nascondere un'impronta digitale come si nasconde una password, perché non è qualcosa che si possiede. È uno schema che si emette. Facciamo due conti: con 12 bit di entropia, un sistema di tracciamento può distinguere circa un dispositivo su 4.000, e un'impronta digitale complessa, con oltre 20 bit, permette di identificare una persona sola in una città di un milione di abitanti.
Tipi di tecniche di fingerprinting del browser
Ogni tecnica rivela una diversa porzione di identità. Alcune sono economiche e deboli, altre lente e rivelatrici. Un sistema di tracciamento solitamente raccoglie una serie di questi vettori di identificazione e li combina in una breve stringa, un singolo identificatore univoco che funge anche da identificatore del dispositivo. La tabella seguente mostra i principali vettori e, approssimativamente, quanto ciascuno di essi restringe il campo di identificazione.
| Vettore | Ciò che rivela | Approssimativamente come identificare |
|---|---|---|
| User-Agent e suggerimenti del client | Browser, versione, sistema operativo | Basso da solo |
| Schermo e hardware | Risoluzione, profondità del colore, core della CPU, memoria | Da basso a medio |
| Tela | GPU, driver, anomalie nel rendering dei caratteri | Alto |
| WebGL | Stringa di scheda grafica e renderer | Alta (~6,8 bit) |
| AudioContext | Differenze nell'elaborazione dello stack audio | Mezzo |
| Font installati | Quali caratteri tipografici ha il tuo sistema | Da medio ad alto |
| Fuso orario e lingua | Impostazioni regionali e locali | Basso |
Impronta digitale su tela
Canvas è lo strumento principale. Uno script indica al browser di disegnare una riga di testo e alcune forme su un elemento canvas nascosto, per poi leggere i pixel. Il risultato non è visibile. Il punto cruciale è che non esistono due stack grafici che riproducano quel disegno in modo identico, perché GPU, versione del driver, anti-aliasing e smussatura dei caratteri lasciano tutti delle piccole tracce. Queste differenze sono stabili e misurabili. Il fingerprinting di Canvas è attualmente in esecuzione sul 12,7% dei 20.000 siti web più visitati e sul 9,9% dei siti classificati tra il 20.000° e il milione di posizioni, secondo una scansione del 2025 presentata all'ACM Internet Measurement Conference .
Impronta digitale WebGL
WebGL espone l'hardware grafico in modo più diretto. Uno script può leggere la stringa del renderer, che spesso specifica la GPU esatta, e analizzare come gestisce il rendering 3D. Questo singolo canale contiene una delle maggiori quantità di informazioni grafiche, ed è per questo che i browser che privilegiano la privacy si impegnano tanto per attenuarle.
Impronta digitale audio e dei caratteri
Il fingerprinting di AudioContext genera un'onda sonora silenziosa e misura come il tuo stack audio la elabora, poiché piccole differenze hardware e software ne modificano l'output. L'enumerazione dei font verifica quali caratteri tipografici il tuo sistema è in grado di riprodurre e il set esatto che hai installato è sorprendentemente personale. Un'avvertenza: l'entropia del fingerprinting audio è misurata in modo impreciso nei recenti lavori sottoposti a revisione paritaria, quindi è bene considerare con una certa cautela le affermazioni dei fornitori al riguardo.
Impronta digitale del browser vs. cookie: differenze principali
Sia i cookie che le impronte digitali ti tracciano, ma si comportano in modo opposto. Un cookie è un file che un sito web memorizza sul tuo dispositivo, quindi puoi visualizzarlo, bloccarlo ed eliminarlo. Un'impronta digitale, invece, viene raccolta al volo da valori che non puoi rimuovere. Non c'è nulla da cancellare. Questa asimmetria, l'assenza di una richiesta di consenso e di un interruttore per disattivarla, è il motivo principale per cui i sistemi di tracciamento hanno iniziato a utilizzarla quando i browser hanno cominciato a bloccare i cookie di terze parti. A differenza dei cookie di tracciamento, che rimangono in un elenco che puoi cancellare, un'impronta digitale non lascia alcuna traccia da rintracciare.
| Dimensione | Biscotti | Impronta digitale del browser |
|---|---|---|
| Dove vive | Memorizzato sul tuo dispositivo | Calcolato ad ogni visita |
| Richiesta di consenso | Solitamente richiesto | Spesso nessuno |
| Puoi cancellarlo? | SÌ | NO |
| Sopravvive in incognito | NO | Perlopiù sì |
| Resiste a una nuova installazione | NO | Spesso sì |
Come gli inserzionisti utilizzano le impronte digitali del browser
Due ambiti molto diversi si affidano allo stesso strumento. Le aziende di ad-tech, ovvero le società pubblicitarie che gestiscono la maggior parte degli annunci online, utilizzano il fingerprinting per tracciare gli utenti su diversi siti e ricostruire il profilo cross-site che avevano perso con la progressiva scomparsa dei cookie di terze parti. Questo permette loro di ricostruire il comportamento degli utenti senza chiedere il permesso, una forma silenziosa di tracciamento comportamentale che non richiede l'accesso. Queste tecnologie di tracciamento possono anche integrare la cronologia di navigazione per affinare il profilo. Tuttavia, questi utilizzi non sono sempre innocui. Lo stesso profilo cross-site può alimentare la discriminazione di prezzo, per cui a due acquirenti vengono proposti prezzi diversi per lo stesso volo o dispositivo in base a quanto suggeriscono il dispositivo e la cronologia di navigazione associati al loro fingerprinting. Il secondo ambito riguarda la prevenzione delle frodi, e qui la logica si inverte: banche, marketplace e piattaforme di scambio utilizzano gli stessi segnali del dispositivo per identificare gli utenti dietro un account rubato o una bot farm, e per individuare gli utenti che gestiscono silenziosamente più account contemporaneamente.
Ormai si tratta di un vero e proprio settore industriale, non più di una funzionalità secondaria. Un fornitore specializzato ha registrato una crescita del fatturato del 65% su base annua e ha affermato di elaborare oltre un miliardo di identificazioni di dispositivi al mese a partire dai primi mesi del 2026. Quindi, quando chiedete chi utilizza il fingerprinting del browser, la risposta onesta è che lo fanno sia i tracker che volete evitare, sia i team di sicurezza che cercano di proteggere il vostro account. Stessa tecnica, intenti opposti.
Implicazioni per la privacy degli utenti di criptovalute e fintech
Se fai trading o detieni criptovalute, il fingerprinting del browser è l'arbitro silenzioso di ogni piattaforma di scambio che visiti. Funziona a tuo favore e a tuo sfavore allo stesso tempo, ed è proprio per questo che merita più attenzione di quanta ne ricevano solitamente i generici consigli sulla privacy. Per chiunque detenga fondi, il rischio per la privacy è concreto, non astratto.
Scambi, lotta alle frodi e resistenza a Sybil
Gli exchange utilizzano dispositivi di riconoscimento delle impronte digitali per imporre una regola molto pratica: una persona reale, un account. Gli stessi segnali rilevano il furto di identità, bloccano chi sfrutta bonus e airdrop utilizzando centinaia di false identità e segnalano i bot. L'obiettivo è un'identificazione affidabile dell'utente quando nome utente e password non sono più sufficienti. Fornitori come FingerprintJS, SEON e Sift offrono proprio questo. La manomissione dei dispositivi, il segno inequivocabile che qualcuno sta falsificando questi segnali, è raddoppiata in un anno. Si è verificata nel 4,4% degli eventi di identificazione desktop nel 2025 rispetto al 2,6% del 2024, secondo un rapporto di intelligence sui dispositivi del 2026 di un fornitore, basato su 23,4 miliardi di eventi . Circa un evento desktop su cinque è passato attraverso una VPN.
Deanonimizzazione del portafoglio
La maggior parte delle guide ignora completamente questo rischio. Supponiamo che completiate la procedura KYC su un exchange regolamentato in una scheda del browser, e poi apriate il vostro portafoglio self-custody, presumibilmente anonimo, in un'altra scheda dello stesso browser. Entrambe le schede emettono la stessa impronta digitale. Chiunque correli questi dati può collegare l'identità verificata al portafoglio che credevate privato. L'impronta digitale diventa il filo conduttore che lega il vostro vero nome alla vostra attività on-chain. Ma non finisce qui. Se in seguito aprite un secondo account per aggirare un blocco regionale, l'impronta digitale corrispondente può segnalarlo come appartenente alla stessa persona e bloccarlo durante la verifica.
La corsa agli armamenti anti-rilevamento
In risposta, è nato un intero mercato di browser anti-rilevamento, con nomi come Multilogin, GoLogin e AdsPower. Questi browser falsificano un'impronta digitale sempre nuova per ogni profilo, permettendo a un singolo operatore di gestire molti account che sembrano appartenere a persone diverse. Gli exchange intensificano i sistemi di rilevamento; gli strumenti di elusione intensificano le tecniche di elusione, e il divario continua ad ampliarsi. Non sono convinto che una delle due parti vinca mai in modo definitivo. Il raddoppio dei segnali di manomissione suggerisce che gli strumenti di elusione stiano vincendo alcuni round, non la guerra.
Lo status giuridico dell'impronta digitale del browser
Il fingerprinting si trova ora in un contesto giuridico sempre più ristretto, anziché in un campo libero. Nell'UE, le normative attuali lo equiparano ai cookie. Il Comitato europeo per la protezione dei dati (EDPB) ha finalizzato le linee guida nell'ottobre 2024, confermando che la lettura delle caratteristiche del dispositivo richiede lo stesso consenso previsto dalla Direttiva ePrivacy per i cookie, riprendendo un precedente parere del 2014. Anche le autorità di regolamentazione non esitano a esprimerlo apertamente. Dopo che Google ha deciso di riammettere il fingerprinting per gli inserzionisti, l'autorità britannica per la protezione dei dati ha definito pubblicamente la modifica irresponsabile, affermando che il fingerprinting non è un mezzo equo per tracciare le persone. Negli Stati Uniti, la legge sulla privacy della California considera già questi identificatori come dati personali, inserendo il fingerprinting a pieno titolo tra le principali preoccupazioni in materia di privacy. La direzione intrapresa è chiara: sempre meno zone grigie si riducono di anno in anno.
Metodi per proteggersi dalle impronte digitali
Non puoi diventare invisibile. Puoi scegliere una di due strategie opposte, e la maggior parte delle persone le interpreta al contrario. O ti mimetizzi con la folla in modo che la tua impronta digitale corrisponda a quella di tutti gli altri, oppure diventi un bersaglio mobile la cui impronta digitale cambia ogni volta che viene letta. Una VPN e la modalità di navigazione in incognito, i due strumenti a cui le persone ricorrono per primi, non rilevano quasi per niente un'impronta digitale.
Impostazioni del browser per ridurre il fingerprinting
Tor Browser adotta la strategia del mimetismo. Fa sì che ogni utente presenti un'impronta digitale pressoché identica e utilizza il letterboxing per arrotondare la finestra alle dimensioni standard, impedendo così che le dimensioni dello schermo si sovrappongano. Brave, invece, opta per una strategia più dinamica con una tecnica chiamata "farbling", che aggiunge una minima randomizzazione per sessione alle letture di canvas e audio. È una tecnica ingegnosa, sebbene alcuni ricercatori abbiano dimostrato nel 2025 che la media su un numero sufficiente di campioni può in parte vanificarne l'effetto. Firefox si colloca a metà strada con la sua modalità "Resist Fingerprinting" e la protezione avanzata dal tracciamento.
VPN, estensioni e disabilitazione di JavaScript
È importante chiarire la funzione di ogni strumento. Una VPN nasconde il tuo indirizzo IP, il che è fondamentale per la privacy, ma la tua impronta digitale rimane invariata, quindi in questo caso non è di grande aiuto. La navigazione privata o in incognito reimposta i cookie ma non offre quasi nessuna protezione contro il fingerprinting. Le estensioni per la privacy come uBlock Origin, il tipo di blocco tracker che la maggior parte delle persone già conosce, bloccano gli script che raccolgono i segnali, il che è effettivamente utile. Disabilitare JavaScript blocca completamente il fingerprinting di canvas, WebGL e audio, poiché questi necessitano di script per funzionare, ma ciò compromette anche gran parte del web moderno, quindi poche persone rimangono a lungo senza protezione.
Strumenti per verificare l'impronta digitale del tuo browser
Puoi metterti alla prova in due minuti. Lo strumento Cover Your Tracks dell'EFF mostra quanto sia unico il tuo browser e se è possibile bloccare i tracker. AmIUnique e BrowserLeaks (entrambi gratuiti) svolgono un lavoro simile e analizzano il risultato vettore per vettore; puoi vedere esattamente quale impostazione ti rende unico.
Raccomandazioni: Vivere con la propria impronta digitale
Adeguare la difesa alla minaccia. Un lettore occasionale che desidera semplicemente una maggiore privacy online può contare su Brave o Firefox con un blocco tracker, e questo è più che sufficiente. Un utente di criptovalute ha bisogno di un'abitudine più rigorosa, ovvero l'igiene dell'identità. La regola più utile in assoluto è non condividere mai lo stesso profilo del browser tra l'exchange con verifica KYC e il proprio portafoglio privato. Un browser o un profilo dedicato per ogni identità è più efficace di qualsiasi singola estensione, perché impedisce che l'impronta digitale del browser diventi il collegamento tra le due identità. Quindi la vera domanda non è come cancellare l'impronta digitale del browser, cosa impossibile. L'anonimato completo raramente è il vero obiettivo; la navigazione anonima per un utente di criptovalute consiste nel mantenere le identità separate. La questione è quante identità separate è necessario tenere distinte e se la configurazione attuale le mantenga effettivamente tali.
