Il browser fingerprinting è la raccolta di attributi del browser e del dispositivo — output di rendering canvas, font installati, modello GPU, fuso orario, risoluzione dello schermo e molti altri — per generare un identificatore statisticamente unico senza memorizzare alcun dato sul dispositivo dell'utente. A differenza dei cookie, le impronte digitali sopravvivono alla cancellazione della cronologia, alla modalità di navigazione privata e all'uso di VPN.
Fatti chiave (figure illustrative, stime di entropia approssimative tratte dalla ricerca pubblicata sul fingerprinting — EFF Cover Your Tracks / Panopticlick e letteratura accademica; non nostre misurazioni):
| Segnale | Entropia (approssimativa) | Note |
|---|---|---|
| Canvas (Chrome desktop) | ~16 bit | Tra i vettori con entropia più alta |
| Renderer WebGL + shader | ~14 bit | Fornitore/modello GPU |
| Audio (OfflineAudioContext) | ~10 bit | Stabile tra le versioni |
| Enumerazione font (CSS) | ~10 bit | Rilevamento indiretto |
| Concorrenza hardware + memoria | ~5 bit | Grossolano ma additivo |
| Canvas (Brave Shields) | Ridotto sostanzialmente | Applicata randomizzazione |
| Canvas (Tor / Mullvad Browser) | ~0 bit | Difesa di uniformità |
Il browser fingerprinting è passato da una curiosità di ricerca al metodo dominante di tracciamento cross-site sul web aperto. La deprecazione dei cookie, accelerata dalla fase di eliminazione dei cookie di terze parti di Google in Chrome e già completata in Safari e Firefox, non ha ridotto il tracciamento — ha accelerato il passaggio a identificatori derivati dal dispositivo senza stato. Questa guida copre ogni vettore, ogni difesa e i dati empirici di cui hai bisogno per valutare la tua reale esposizione nel 2026.
Vedi anche: Metodologia di test · Confronto browser per la privacy · Strumento di test del fingerprint del browser · Glossario della privacy del browser
1. Il panorama delle minacce del fingerprinting nel 2026
La logica economica del fingerprinting è semplice: le reti pubblicitarie hanno bisogno di identificatori persistenti cross-site per attribuire conversioni, costruire profili comportamentali e determinare il prezzo dell'inventario. I cookie erano lo standard del settore fino a quando i fornitori di browser hanno iniziato a imporre restrizioni SameSite e ITP (Intelligent Tracking Prevention) a partire dal 2017. Man mano che l'affidabilità dei cookie si erodeva, il settore ha investito pesantemente in alternative senza cookie.
Entro il 2026, gli identificatori derivati dal fingerprinting sono diventati diffusi nelle richieste di offerta programmatica, e grandi broker di dati gestiscono reti di fingerprinting che coprono una quota sostanziale di browser attivi, aggiornando periodicamente i profili. Un'impronta digitale che cambia — perché l'utente ha aggiornato il driver della GPU o ha cambiato schermo — viene riassociata al profilo utilizzando il matching probabilistico contro segnali comportamentali.
Tre segmenti economici guidano l'investimento nella tecnologia di fingerprinting:
Ad-tech. Il bidding in tempo reale richiede un identificatore stabile per abbinare una richiesta di offerta a un profilo utente in meno di un secondo. Le impronte digitali di canvas e audio, combinate con subnet IP e User-Agent, forniscono un identificatore con un tasso di collisione molto basso per i browser desktop.
Rilevamento delle frodi. I processori di pagamento e le piattaforme di e-commerce utilizzano il fingerprinting del dispositivo per distinguere gli utenti legittimi dalle frodi automatizzate. Questo caso d'uso è spesso trattato con simpatia nella regolamentazione — complica le esenzioni legislative e le posizioni dei fornitori di browser sulla restrizione delle API.
Sorveglianza a livello statale. Il fingerprinting è stato documentato in almeno 14 programmi SIGINT nazionali. A differenza del tracciamento basato sui cookie, il fingerprinting non richiede la cooperazione del proprietario del dispositivo e non lascia tracce forensi. Le richieste transfrontaliere a CDN e endpoint di analisi forniscono payload di fingerprinting che persistono al di fuori della consapevolezza dell'utente.
Quali sono i principali vettori di fingerprinting attivo del browser?
Il browser fingerprinting utilizza le API JavaScript per raccogliere segnali derivati dal dispositivo come identificatori. La ricerca pubblicata (come lo studio dell'EFF "How Unique Is Your Web Browser?" / Panopticlick e successivi lavori accademici) rileva che i vettori con entropia più alta includono l'output di rendering canvas, i dati GPU WebGL, l'elaborazione AudioContext e l'enumerazione dei font installati — ciascuno nell'ordine di circa 10–16 bit su desktop. Combinati, un'impronta digitale desktop supera facilmente i ~33 bit necessari per l'identificazione unica a livello globale.
Il fingerprinting attivo utilizza le API del browser accessibili tramite JavaScript che elaborano o rendono contenuti, con l'output raccolto come identificatore.
Il fingerprinting del canvas rimane il singolo vettore attivo con entropia più alta. Uno script disegna testo e forme su un elemento <canvas> nascosto e legge i dati pixel tramite toDataURL() o getImageData(). Il rendering sub-pixel, l'hinting dei font, la composizione accelerata dalla GPU e l'anti-aliasing a livello di sistema operativo producono firme che differiscono tra modelli di GPU, versioni dei driver e sistemi operativi. La ricerca pubblicata sul fingerprinting colloca il canvas da solo tra i vettori con entropia più alta — nell'ordine di ~16 bit su Chrome desktop — abbastanza per distinguere un utente tra decine di migliaia.
Il fingerprinting WebGL estrae le stringhe del fornitore e del renderer della GPU tramite WEBGL_debug_renderer_info e valuta l'esecuzione dello shader. La combinazione della stringa VENDOR e dell'output dello shader Perlin-noise aggiunge entropia oltre al canvas — la ricerca pubblicata la colloca nell'ordine di ~10 bit — con tassi di collisione molto bassi all'interno della stessa famiglia di GPU.
Il fingerprinting AudioContext elabora un'onda sinusoidale a 1000 Hz tramite un OfflineAudioContext e calcola l'hash del buffer di output. Le caratteristiche del compressore, i coefficienti del resampler e l'arrotondamento in virgola mobile differiscono per sistema operativo e stack audio. Gli studi riportano entropia nell'ordine di ~7 bit. La tecnica si completa rapidamente e non richiede interazione o permessi dell'utente.
L'enumerazione dei font era storicamente eseguita misurando la larghezza del testo reso in uno <span> nascosto. Gli script moderni utilizzano FontFace.load() e document.fonts.check() per un'enumerazione più veloce e affidabile dei font di sistema installati. Su un sistema operativo desktop con centinaia di font, il set installato è un vettore ad alta entropia (riportato nell'ordine di ~10 bit o più). I dispositivi mobili hanno set di font più piccoli e più uniformi, producendo molto meno.
Concorrenza hardware e memoria. navigator.hardwareConcurrency riporta il numero di core della CPU; navigator.deviceMemory restituisce uno degli otto valori discreti (0,25–8 GB). Insieme aggiungono alcuni bit e si correlano fortemente con la classe del dispositivo — utile per l'inferenza demografica e il punteggio delle frodi.
Geometria dello schermo e della finestra. screen.width, screen.height, screen.colorDepth, window.devicePixelRatio e window.outerWidth vs. window.innerWidth (che rivela la dimensione del chrome del browser) contribuiscono collettivamente a diversi bit su desktop, e meno su mobile dove le risoluzioni dei display si raggruppano strettamente.
Fuso orario e locale. Intl.DateTimeFormat().resolvedOptions().timeZone restituisce la stringa del fuso orario IANA. Combinato con navigator.language, navigator.languages e Intl.NumberFormat locale, questo aggiunge diversi altri bit e restringe l'origine geografica a livello di città-regione in molti casi.
L'entropia combinata del fingerprinting attivo su tutti i vettori sopra supera facilmente i ~33 bit necessari per l'identificazione unica su Internet globale su desktop, e rimane alta su mobile.
3. Vettori di fingerprinting passivo
Il fingerprinting passivo non richiede JavaScript — opera su segnali a livello di rete presenti in ogni richiesta HTTP.
User-Agent e Client Hints. L'header User-Agent storicamente trapelava il nome del browser, la versione principale e secondaria, il nome e la versione del sistema operativo e l'architettura della CPU in una singola stringa. Il team di Chrome ha introdotto User-Agent Client Hints (UA-CH) per migrare a un UA predefinito a bassa entropia e suggerimenti ad alta entropia opzionali. In pratica, i siti richiedono il CH completo tramite gli header Accept-CH, e Chrome li soddisfa — l'entropia è migrata da passiva a semi-passiva ma non è diminuita. Firefox e Safari mantengono stringhe UA congelate o semplificate che riducono l'entropia passiva a ~8 bit.
Ordine e grammatica degli header HTTP. L'ordine, la capitalizzazione e la presenza degli header Accept, Accept-Encoding, Accept-Language, Sec-Fetch-* e Priority variano in modi rilevabili a seconda del browser e della versione. Questa tecnica non richiede JavaScript e funziona contro qualsiasi client HTTP — browser, bot e framework di automazione hanno tutti impronte digitali di header distinte.
Fingerprinting IP e TLS. Il messaggio TLS ClientHello contiene l'elenco delle suite di cifratura, l'ordine delle estensioni, i gruppi supportati e i valori ALPN che differiscono per implementazione TLS. Il fingerprinting JA3/JA4 estrae questi campi e produce un hash. Un browser basato su Chromium su Windows produce un hash JA4 diverso rispetto allo stesso Chromium su Linux o macOS. La geolocalizzazione IP aggiunge 5–8 bit per l'attribuzione a livello di città e 2–3 bit per l'attribuzione a livello di ISP. Fingerprint passivo combinato su desktop: ~22 bit senza esecuzione di JavaScript.
Segnali comportamentali. Le traiettorie del movimento del mouse, il timing della digitazione, la velocità di scorrimento e i modelli di pressione del tocco sono utilizzati dai sistemi di rilevamento delle frodi e sempre più dall'ad-tech per la re-identificazione cross-sessione. Questi richiedono JavaScript per la raccolta ma sono classificati come passivi perché l'utente li fornisce implicitamente durante l'interazione normale. La ricerca pubblicata riporta che i modelli comportamentali possono raggiungere un'elevata precisione di re-identificazione per gli utenti di ritorno in studi controllati.
Come i browser si difendono dal fingerprinting?
Esistono due strategie. Randomizzazione (Brave, LibreWolf) inietta rumore per sessione nei canvas, WebGL e output audio, interrompendo la correlazione cross-sessione. Uniformità (Tor Browser, Mullvad Browser) fa sì che ogni utente presenti la stessa impronta digitale, impedendo l'identificazione all'interno della popolazione. La randomizzazione è più usabile; l'uniformità è più forte per l'anonimato ma richiede dimensioni delle finestre fisse e JIT disabilitato.
Tor Browser. L'implementazione di riferimento della strategia di copertura statica. Tutti gli utenti di Tor Browser presentano la stessa impronta digitale standardizzata: User-Agent di Firefox ESR congelato, API canvas che restituisce rumore bianco a un livello costante, WebGL disabilitato o che restituisce stringhe di fallback generiche, AudioContext bloccato, font limitati a un set integrato e viewport forzato a 1000×1000. Il modello di difesa assume che all'interno della popolazione di utenti Tor, i singoli browser siano statisticamente indistinguibili. L'efficacia dipende dalla dimensione della popolazione: con meno di 3–4 milioni di utenti attivi di Tor Browser, la dimensione del set di copertura è il vincolo vincolante.
Firefox Resist Fingerprinting (RFP). Il flag privacy.resistFingerprinting di Firefox (disponibile dalla versione Firefox 41, supportato formalmente in Firefox 68+) applica un ampio set di valori falsificati: risoluzione dello schermo congelata, fuso orario falsificato in UTC, valori del navigatore semplificati, randomizzazione del canvas, precisione delle metriche dei font ridotta e granularità di window.performance.timing soppressa. RFP nel 2026 copre 34 superfici API distinte. Compromesso: alcune applicazioni web si rompono, in particolare quelle che utilizzano il timing di requestAnimationFrame per l'animazione o Intl per la visualizzazione di date localizzate.
Brave Shields. Brave applica rumore per sessione e per sito agli output di canvas, WebGL e AudioContext. Il rumore è calibrato per essere impercettibile agli utenti ma sufficiente per interrompere la correlazione cross-site. Brave inoltre rimuove gli header Referer di terze parti, applica il Partizionamento dello Storage e randomizza hardwareConcurrency e deviceMemory. Il modello di difesa differisce da Tor: piuttosto che una copertura uniforme, Brave mira a rendere inaffidabile il collegamento cross-site attraverso l'incoerenza. Il tracciamento all'interno della sessione rimane possibile per un avversario determinato.
Mullvad Browser. Basato sul set di patch anti-fingerprinting di Tor Browser ma senza il requisito della rete Tor. Viene fornito con uBlock Origin in modalità difficile per impostazione predefinita. Progettato per essere abbinato a una VPN fidata per separare l'identità di rete dall'identità del browser. Mullvad Browser applica la stessa strategia di copertura statica di Tor Browser — è l'opzione più forte fuori dalla rete Tor per la resistenza al fingerprinting.
Compromesso tra randomizzazione e copertura statica. La randomizzazione (Brave, alcune estensioni di Firefox) previene il collegamento cross-site ma può essere rilevata: se un tracker si carica in un iframe su due siti e riceve due hash canvas diversi dallo stesso IP in una breve sessione, può dedurre che la protezione dal fingerprinting è attiva. La copertura statica (Tor, Mullvad) impedisce il rilevamento della difesa stessa e il collegamento all'interno della popolazione, al costo di richiedere a tutti gli utenti di presentare lo stesso aspetto.
5. Come sono state ottenute queste cifre (e come controllare il proprio browser)
L'entropia è misurata in bit utilizzando la formula di Shannon applicata alla distribuzione dei valori osservati. Se un vettore assume N valori distinti con frequenze p₁…pN, la sua entropia H = -Σ pᵢ log₂(pᵢ). Un singolo bit di entropia dimezza la popolazione. Circa 20 bit sono sufficienti per distinguere una persona su circa un milione, e la ricerca pubblicata trova che un'impronta digitale desktop combinata supera comodamente i ~33 bit necessari per l'unicità globale.
Gli intervalli di entropia approssimativi utilizzati in tutta questa guida sono tratti dalla ricerca pubblicata sul fingerprinting, non da alcun dataset proprietario nostro. Il riferimento fondamentale è lo studio Panopticlick dell'EFF, "How Unique Is Your Web Browser?" di Peter Eckersley, che ha misurato per la prima volta l'entropia per vettore su un ampio campione volontario e ha trovato che la maggior parte dei browser è unica. Il progetto attuale dell'EFF Cover Your Tracks continua questo lavoro, e una vasta letteratura accademica sul fingerprinting di canvas, WebGL, audio e font ha riprodotto lo stesso quadro generale: il canvas è tra i vettori con entropia più alta, e una manciata di vettori combinati sono sufficienti per rendere la maggior parte dei browser desktop unici.
Il modo più affidabile per conoscere la propria esposizione è testare il proprio browser reale piuttosto che fidarsi di una singola tabella:
- Esegui lo strumento Cover Your Tracks dell'EFF (coveryourtracks.eff.org) per vedere quali segnali del tuo browser sono più identificativi.
- Usa il nostro strumento di test del fingerprint del browser per ispezionare i segnali canvas, WebGL, audio, font e header che il tuo browser espone in questo momento.
L'ordinamento relativo è ciò che conta ed è ben stabilito nella letteratura: canvas, WebGL e enumerazione dei font si trovano in cima; hardware, geometria dello schermo e fuso orario aggiungono meno bit ma si sommano in modo additivo. Le difese cambiano il quadro — il rumore per sito di Brave è progettato per ridurre sostanzialmente l'unicità di canvas e WebGL, mentre Tor Browser e Mullvad Browser mirano a far sembrare ogni utente identico (vicino a ~0 bit distintivi all'interno della loro popolazione), al costo di essere facilmente riconoscibili come utenti Tor/Mullvad.
6. La frontiera del 2026
Maturazione del Privacy Sandbox. Google ha distribuito l'API Topics su Chrome stabile nel 2025 e l'API Protected Audience (precedentemente FLEDGE) per il remarketing nel 2024. Il Partizionamento dello Storage — isolando lo storage per sito di primo livello — è stato rilasciato in Chrome 115 e Firefox 109. La Mitigazione del Tracciamento dei Rimbalzi, che mira alla sincronizzazione dei cookie basata su reindirizzamenti, è in Chrome stabile dalla versione 127. Questi meccanismi riducono il tracciamento basato sui cookie ma introducono nuove superfici di attestazione.
FedCM (Federated Credential Management). FedCM sostituisce i flussi SSO basati su cookie di terze parti. Instrada le richieste di identità attraverso il browser come mediatore, riducendo la capacità dell'IdP di tracciare la navigazione dell'utente. Tuttavia, il browser stesso diventa consapevole delle relazioni del provider di identità dell'utente — un nuovo segnale per il profiling a livello di fornitore del browser che i ricercatori della privacy stanno esaminando.
Trust Tokens / Private State Tokens. I Private State Tokens consentono ai sistemi di rilevamento delle frodi di verificare che un utente abbia superato in precedenza una sfida di verifica umana senza collegare l'evento di verifica specifico. Il token è associato al dispositivo e non ruota tra i siti, creando un potenziale identificatore stabile cross-site. Il W3C Privacy CG ha segnalato questo come una preoccupazione aperta.
Partizionamento dello Storage. Chrome, Firefox e Safari ora partizionano localStorage, sessionStorage, IndexedDB e SharedWorker per origine di primo livello. Questo elimina il canale di temporizzazione della cache e il vettore di tracciamento basato su storage condiviso che erano attivi per un decennio. Impatto sul fingerprinting: indiretto. Il partizionamento non riduce il fingerprinting basato su API ma elimina diversi identificatori passivi basati su storage.
WebAuthn e passkey. L'autenticazione con passkey lega le credenziali a un dispositivo piuttosto che a una password, il che riduce il rischio di phishing ma crea un segnale di identità del dispositivo stabile. Un relying party di passkey riceve la prova crittografica che la stessa chiave del dispositivo ha firmato più eventi di autenticazione — che è precisamente la collegabilità cross-sessione che il fingerprinting fornisce, ora con esplicito consenso dell'utente.
7. Cosa usare adesso: matrice decisionale
| Profilo | Browser raccomandato | Note |
|---|---|---|
| Alto rischio (giornalista, attivista, informatore) | Tor Browser | Unica opzione con impronta digitale uniformemente provata. Accetta tempi di caricamento delle pagine 2–5× più lenti. |
| Forte privacy, usabile quotidianamente | Mullvad Browser + VPN | Copertura statica + uBO predefinito. VPN nasconde il pattern di uscita Tor dall'ISP. |
| Privacy mainstream, uso normale | Brave (Shields predefinito) | Miglior rapporto UX-protezione. Non a prova di fingerprinting ma interrompe il tracciamento di massa. |
| Sviluppatore / utente esperto su Firefox | Firefox + RFP + uBO | Manuale, rompe alcuni siti, massima riduzione dell'entropia fuori da Tor/Mullvad. |
| Mobile iOS | Safari + iCloud Private Relay | Sblocco CNAME bloccato, IP mascherato dal relay. Nessuna difesa canvas — opzione più debole in questa lista. |
| Mobile Android | Brave per Android | Shields attivi su mobile. Preferibile rispetto a Chrome. |
Nessuna VPN da sola è sufficiente — l'identità di rete e l'identità del browser sono superfici di attacco separate che richiedono mitigazioni separate.
Le cifre di entropia in questa guida sono intervalli approssimativi tratti dalla ricerca pubblicata sul fingerprinting — lo studio Panopticlick dell'EFF ("How Unique Is Your Web Browser?", Peter Eckersley), il progetto EFF Cover Your Tracks e la più ampia letteratura accademica — non da alcun dataset proprietario nostro. Testa il tuo browser con lo strumento EFF Cover Your Tracks e il nostro test del fingerprint del browser.
Letture correlate
