PolicyCheck: quando accetti i cookie, sai davvero cosa stai firmando?
Ogni giorno accettiamo privacy policy senza leggerle. Non per pigrizia - ma perché sono scritte per non essere capite. Blocchi di testo lunghissimi, linguaggio legale, rimandi ad altri documenti. Il risultato è che la maggior parte di noi clicca "Accetto" senza sapere cosa sta cedendo - dati, abitudini, preferenze, a volte molto di più. PolicyCheck nasce da questa consapevolezza. È un tool che analizza il testo di una privacy policy e restituisce una lettura chiara: chi tratta i tuoi dati, quali raccoglie davvero, se li condivide con terze parti, se ti profila, se li trasferisce fuori dall'UE. Tutto sintetizzato in un rating di trasparenza da 1 a 10, permettendo anche una parte educativa oltre che informativa
La parte che mi sta a cuore raccontare è come è stato costruito. Non ho scritto una riga di codice: ho usato il vibe coding, un approccio in cui descrivi all'AI cosa vuoi ottenere e lei costruisce il codice per te, passo dopo passo. Lo stack è semplice - HTML, CSS e JavaScript vanilla, nessun backend, nessuna dipendenza esterna - ma il processo è stato tutto una conversazione. Descrivevo un problema, l'AI proponeva una soluzione, io la testavo, correggevo il tiro, ricominciavo. Questo progetto è anche una risposta a chi pensa che la tecnologia sia roba da specialisti. Non è più così. Quello che serve è sapere cosa vuoi costruire e perché, oltre che tenere a mente come si progetta e tutti gli aspetti (inclusa la sicurezza). Ho deciso di presentarvi questo progetto perchè l’ho creato io stessa, tuttavia il vibe coding consapevole è stato oggetto di un corso che ho tenuto in un corso ITS di cybersecurity in cui abbiamo progettato tool di sicurezza sfruttando appunto il vibe coding.
Ci sono davvero tanti tool, il più famoso è Lovable ma non mi andava a genio l’idea di far pagare una subscription agli studenti solo per “provare” allora abbiamo utilizzato altri tool come Google Antigravity, Firebase e Visual Studio Code. Come avrete capito nei vari progetti io ho una preferenza per Google tuttavia ritengo che il momento storico che stiamo attraversando sia ricco di ottime soluzioni e tocca solo scegliere quale sia il migliore per voi e per le vostre necessità.
ma come hai fatto?!
Tutto è partito da un'idea chiara: costruire uno strumento che facesse una cosa sola, bene, senza raccogliere dati di chi lo usa. Per svilupparlo ho usato Antigravity di Google, una piattaforma che integra diversi modelli di AI tra cui Claude e Gemini, e che permette di costruire software descrivendo quello che vuoi ottenere in linguaggio naturale. Il risultato è PolicyCheck: un'applicazione che gira interamente nel browser, senza server, senza database remoti, senza tracciamento. Ogni dato rimane sul tuo dispositivo. Non a caso.
Il cuore dell'app: come funziona davvero
Per chi è curioso di capire cosa c'è sotto, lo stack è volutamente semplice: solo JavaScript puro, diviso in tre moduli logici. I framework come React sono strumenti potenti, ma aggiungono strati di complessità: dipendenze esterne da aggiornare, vulnerabilità da monitorare, codice che non controlli direttamente. In un'app pensata per parlare di trasparenza e privacy, affidarsi a meno componenti esterni significa una cosa concreta per chi la usa: l'app è veloce, leggera, e non porta con sé bagagli nascosti. Si apre in un secondo, funziona subito, e non installa niente sul tuo dispositivo. L'obiettivo è tenerla sempre a portata di mano - aprirla ogni volta che hai un dubbio su un sito, prima di cliccare "Accetto".
Il primo è PolicyAnalyzer.js, il motore dell'app. Legge il testo di una privacy policy, cerca pattern linguistici specifici in italiano e in inglese, e calcola uno score di trasparenza. Non è AI: è logica euristica, regole scritte a mano per riconoscere le frasi che nascondono i comportamenti più problematici.
Il secondo è app.js, che gestisce tutto quello che vedi sullo schermo: i bottoni, i risultati, il caricamento dei dati.
Il terzo è database.js, che salva la cronologia delle analisi direttamente nel browser, nelle LocalStorage - quelle piccole memorie locali che i siti usano per ricordare le tue preferenze. Nessun dato viene mai inviato a un server esterno.
Privacy by design: i dati restano tuoi
Quando inserisci l'URL di una privacy policy, il browser normalmente non può leggerla direttamente per ragioni di sicurezza - una protezione che si chiama CORS e che impedisce a un sito di "spiare" il contenuto di un altro. Per aggirare questo limite in modo trasparente ho usato un proxy pubblico chiamato corsproxy.io, che fa da intermediario. Una volta scaricato il testo, un parser nativo del browser rimuove tutto il superfluo - pubblicità, menu, codice - e lascia solo il testo legale da analizzare.
L'aspetto visivo: semplicità che comunica
Il design ha un nome: Digital Blueprint e ci tengo a specificarlo perchè è un layout che ormai si vede sui tre quarti dei siti, mi sembra come quando è esploso Wordpress e i siti erano tutti uguali o come quando la gente ha scoperto i Google Sites e c’erano SOLO siti con i bottoni giganti. Ecco, il limite degli IDE agentici è che non sono dei designer e purtroppo (o per fortuna) per arginare questo problemino, sono nati altri tool che si possono utilizzare per prendere ispirazione da altri layout, uno tra tutti Stitch (spoiler: è tutt’altro che semplice rifare un sito soprattutto se complesso, dove la complessità è in termini di grafica). Comunque questo design ha colori freddi e professionali, effetti di trasparenza e sfocatura per dare profondità e font omogenei su tutto il sito (Outfit per i titoli + JetBrains Mono per i dati tecnici). Ogni scelta visiva serve a rendere il report leggibile anche per chi non ha mai sentito parlare di GDPR. Per l'esportazione ho integrato html2pdf.js, una libreria che trasforma il report in un PDF scaricabile - utile per conservarlo, condividerlo o usarlo in contesti educativi.
Perché è online e perché è utile
PolicyCheck è accessibile a chiunque, direttamente dal browser, senza installare niente. Ogni analisi che fai viene salvata localmente sul tuo dispositivo - non su un server centrale, non in un database condiviso. I tuoi dati restano tuoi. Questo è possibile perché l'app non ha un backend: gira interamente nel browser, e pubblicarla online significa semplicemente mettere quei file su un server statico. Ho usato Firebase Hosting di Google, un servizio gratuito pensato esattamente per questo tipo di applicazioni leggere.
La prossima evoluzione sarà un archivio pubblico delle policy analizzate - un po' come VirusTotal fa con i file sospetti. Ogni analisi contribuirà a un database condiviso, consultabile da chiunque. L'obiettivo è costruire una mappa collettiva della trasparenza digitale: quali siti rispettano davvero gli utenti, e quali no.
E se lo vuoi fare tu?
Non importa da dove parti. PolicyCheck dimostra che oggi puoi costruire uno strumento utile, sicuro e ben progettato anche senza anni di formazione tecnica. Quello che serve è un'idea chiara, la curiosità di imparare strada facendo, e la consapevolezza di fare le domande giuste - all'AI, e a te. Qui sotto vedi la mia versione di PolicyCheck con il design che ho tanto decantato poco fa. Mi raccomando: presta moooolta attenzione ai diversi aspetti tecnici, li trovi qui sotto nel pippozzo dedicato e se hai domande, scrivimi!
pippozzo finale su Cos’è il vibe coding
Il vibe coding è un approccio alla programmazione emerso con i moderni modelli di linguaggio, in cui non scrivi codice direttamente ma lo descrivi a una intelligenza artificiale in linguaggio naturale. Tu definisci cosa vuoi ottenere, l'AI genera il codice, tu lo testi e torni a descrivere cosa non funziona o cosa manca. È un dialogo iterativo più che una sessione di programmazione tradizionale.
Dal punto di vista della programmazione cambia radicalmente il ruolo di chi sviluppa. Non devi conoscere la sintassi, ma devi capire la logica - sapere cosa stai chiedendo, riconoscere se il risultato ha senso, saper fare le domande giuste. Chi ha una base tecnica lo usa per accelerare; chi non ce l'ha lo usa per costruire cose che altrimenti non potrebbe costruire. Ma attenzione: conoscere la programmazione resta un vantaggio enorme. Non perché serva scrivere codice a mano, ma perché ti permette di valutare quello che l'AI produce. Sai quando una soluzione è elegante o inutilmente complessa, riconosci un errore logico anche senza eseguire il codice, capisci perché qualcosa non funziona invece di sperare che l'AI lo risolva da sola. La programmazione insegna un modo di pensare - scomporre un problema, ragionare per casi, anticipare gli errori - che nessun modello può sostituire. Il vibe coding amplifica le tue capacità, ma parte da quello che già sai.
Dal punto di vista della security è un territorio delicato. Il codice generato dall'AI funziona, ma non è detto che sia sicuro. Può contenere vulnerabilità che uno sviluppatore esperto riconoscerebbe subito: injection, gestione errata delle credenziali, dati esposti nel frontend. Chi usa il vibe coding senza una cultura della sicurezza rischia di mettere online applicazioni con falle che non sa nemmeno di avere. Conoscere i principi base della cybersecurity cambia tutto. Non devi essere un penetration tester, ma sapere cos'è una injection, capire perché le credenziali non vanno mai nel codice frontend, avere il riflesso di chiederti "chi può accedere a questi dati e come" ti permette di fare le domande giuste all'AI e di riconoscere quando una risposta è rischiosa. Senza questa consapevolezza, il vibe coding può diventare un modo molto efficiente per costruire software insicuro. Con questa consapevolezza, diventa uno strumento potente anche per chi non ha anni di esperienza tecnica alle spalle. È uno dei motivi per cui la cybersecurity consapevole diventa ancora più importante in un mondo in cui chiunque può costruire software.
Dal punto di vista del project management il vibe coding sposta il valore dalla scrittura del codice alla definizione del problema. Chi sa articolare chiaramente cosa vuole, chi ha una visione del prodotto, chi sa testare e iterare: queste diventano le competenze critiche. La fase tecnica si accorcia, ma la fase di pensiero rimane centrale. Questo significa che le competenze tradizionali del project management diventano ancora più preziose. Saper scrivere requisiti chiari, gestire le priorità, ragionare per milestone, documentare le decisioni: tutte cose che sembravano "soft" rispetto al codice, e che invece diventano il vero motore del progetto. L'AI può costruire una funzionalità in pochi minuti, ma se non sai cosa vuoi costruire, perché e per chi, quei minuti si moltiplicano all'infinito in revisioni e correzioni. La chiarezza di visione non è mai stata così importante come quando hai uno strumento che esegue quasi tutto quello che gli chiedi.
E se non hai nessuna di queste competenze? Il vibe coding abbassa la barriera di ingresso alla costruzione di software, ma non elimina la necessità di pensare con rigore. La buona notizia è che queste competenze si imparano, e spesso bastano le basi. Non devi diventare una sviluppatrice, una hacker o una project manager professionista. Devi solo iniziare a fare le domande giuste.