La Cookie Law è diventata una presenza costante per ogni proprietario di sito web. E, diciamocelo chiaramente, non sempre piacevole: tra normative che cambiano repentinamente, interpretazioni diverse e sanzioni anche piuttosto severe, orientarsi con efficacia nel mondo della privacy digitale sembra essere impossibile.
Tuttavia, per questo 2025 c’è un elemento di chiarezza: il Garante ha infatti pubblicato alcune linee guida che hanno messo nero su bianco cosa fare e cosa non fare.
Se hai un sito web, un e-commerce o una startup digitale, questa guida ti aiuterà a capire esattamente cosa devi implementare per essere a norma, nella consapevolezza che oggi la maggior parte dei siti italiani è ancora fuori norma, spesso inconsapevolmente.
Cookie Law: com’era e com’è cambiata
In questa rapida carrellata, cerchiamo di capire come si sia arrivati alla Cookie Law odierna, partendo dai primi spunti normativi e dalle loro evoluzioni nel tempo.
Breve cronologia della normativa cookie in Europa (2011–2025)
Per prima cosa, sottolineiamo che la Cookie Law nasce nel 2011 con la Direttiva ePrivacy europea, anche se in Italia il quadro normativo è arrivato solo l’anno dopo, quando il Garante pubblica le prime linee guida. All’inizio, peraltro, gli spunti erano piuttosto vaghi: bastava infatti un banner informativo e il consenso era implicito. I famosi “banner a bandiera” colorati che dicevano “Questo sito utilizza cookie”, per intenderci, erano sufficienti.
Il 2016 porta però una prima, attesa, stretta: il Garante chiarisce che il consenso deve essere esplicito per cookie di profilazione, ma rimane ancora molta confusione su cosa significhi “esplicito”. Molti siti si adeguano con banner che dicono “proseguendo acconsenti“, pensando di essere a posto.
Il vero scossone arriva solo nel 2018, con il GDPR. All’improvviso la questione cookie diventa parte di un quadro normativo molto più ampio e rigoroso, stabilendo che il consenso deve essere libero, specifico, informato e inequivocabile. Nascono così i primi Cookie Management Platform (CMP).
Negli anni successivi il Garante italiano ha aggiornato le sue linee guida su cookie e altri strumenti di tracciamento, fino ad arrivare agli ultimi, più recenti, interventi, che tengono conto dell’evoluzione tecnologica, della giurisprudenza europea e delle esigenze concrete delle aziende.
Dal GDPR al regolamento ePrivacy: cosa obbliga oggi il Garante
Ma che cosa obbliga oggi il Garante? Quali sono le indicazioni fornite?
Per scoprirlo, ricordiamo come la normativa cookie oggi sia il risultato di un mix di GDPR e regolamento ePrivacy, interpretati dalle linee guida del Garante italiano. Il principio base è sempre lo stesso: ogni cookie che non sia strettamente necessario al funzionamento del sito richiede consenso esplicito dell’utente.
Il Garante ha poi chiarito che il consenso deve essere granulare: in altri termini, non si può chiedere un consenso unico per “migliorare l’esperienza utente”, ma bisogna specificare se vuoi cookie per analytics, advertising, social media, personalizzazione. E, ben inteso, l’utente deve poter scegliere categoria per categoria.
Il Garante ha anche chiarito la questione dei “dark patterns”: banner confusionari, pulsanti nascosti per rifiutare, consensi pre-spuntati sono vietati e sanzionabili direttamente, cercando di ispirare maggiore trasparenza.
Le nuove linee guida del 2025: cosa prevede la legge
Approfondiamo ora le nuove linee guida del 2025, condividendo in breve che cosa prevede la legge e perché è fondamentale prepararsi a queste novità con la giusta consapevolezza.
Obblighi di trasparenza e consenso granulare
Prima di tutto, le linee guida 2025 introducono il principio della “trasparenza sostanziale“: non basta informare, devi far capire davvero cosa stai facendo con i dati dell’utente. La privacy policy deve essere scritta in italiano semplice, senza tecnicismi legali incomprensibili.
Come già anticipato, il consenso granulare diventa obbligatorio: devi permettere all’utente di scegliere singolarmente ogni categoria di cookie. Non puoi raggruppare analytics e advertising sotto “cookie tecnici”. Ogni finalità deve avere un interruttore separato e chiaramente spiegato.
La novità più importante è però probabilmente l’obbligo del “consenso informato preventivo“: prima di attivare qualsiasi cookie non tecnico, infatti, devi spiegare cosa fa, perché lo usi, con chi condividi i dati. L’utente deve dunque poter decidere con cognizione di causa.
Infine, il banner deve includere sempre un pulsante “Rifiuta tutto” visibile quanto “Accetta tutto”. Non puoi nascondere il rifiuto in sottomenu o renderlo meno evidente. Parità di trattamento visivo è obbligatoria.
Gestione dei cookie tecnici, analitici e di profilazione
Altro chiarimento atteso, non certo secondario, è quello legato alla classificazione dei cookie.
Abbiamo dunque da una parte i cookie tecnici, che sono solo quelli indispensabili per il funzionamento base del sito: sessione, sicurezza, load balancing. Tutto il resto richiede consenso, anche se “migliora l’esperienza utente”.
Pertanto, richiedono consenso i cookie analytics, che sono quelli che raccolgono dati statistici su come gli utenti usano il sito. Google Analytics standard è considerato cookie di profilazione perché crea profili utente riutilizzabili per advertising. Google Analytics 4 con anonimizzazione e data retention limitato può essere considerato analytics, quindi richiedere consenso semplificato.
Lo stesso dicasi per i cookie di profilazione, che sono tutti quelli che creano profili utente per advertising, remarketing, personalizzazione avanzata. Richiedono consenso esplicito e informativa dettagliata su come vengono utilizzati i profili.
In ogni caso, la gestione deve essere dinamica: se l’utente revoca il consenso, devi immediatamente smettere di raccogliere dati e, dove possibile, cancellare quelli già raccolti. Non puoi continuare il tracking “per completezza statistica”!
Come adeguare il tuo sito web oggi
Chiarita l’importanza di una corretta gestione, cerchiamo ora di comprendere in che modo si debba adeguare il proprio sito web oggi, per evitare sanzioni anche particolarmente severe.
Struttura di un banner cookie conforme (elementi obbligatori)
Un banner conforme deve contenere elementi specifici e non negoziabili. Prima di tutto, il titolo deve essere chiaro: “Il tuo consenso per i cookie” o simile, mai “Migliora la tua esperienza” – che come abbiamo già anticipato potrebbe essere fuorviante.
La descrizione deve invece spiegare in modo semplice che cosa sono i cookie e perché li usi. Evita dunque l’utilizzo di frasi generiche come “per offrirti la migliore esperienza possibile”, ma spiega concretamente che “utilizziamo cookie per analizzare il traffico del sito e per mostrarti pubblicità personalizzate”.
Ricorda anche la presenza obbligatoria di almeno tre pulsanti, come: “Accetta tutto”, “Rifiuta tutto” e “Personalizza”. Tutti i pulsanti devono avere la stessa visibilità e dimensione. Il pulsante “Personalizza” deve a sua volta aprire un pannello dove l’utente può scegliere categoria per categoria.
Quindi, nel pannello di personalizzazione devi elencare ogni categoria di cookie con spiegazione specifica: “Cookie analytics: ci aiutano a capire quali pagine sono più visitate”, “Cookie advertising: permettono di mostrarti annunci pertinenti ai tuoi interessi”. Anche in questo caso, è utile rammentare che la categoria deve avere un interruttore indipendente.
Strumenti e piattaforme per la gestione del consenso (CMP)
Per implementare un sistema di consenso conforme hai bisogno di un Cookie Management Platform (CMP), gratuito o a pagamento.
Le soluzioni gratuite più affidabili e conosciute sono Cookiebot (versione base), OneTrust (per piccoli siti) e Termly. Per siti più complessi, CookieYes e Iubenda offrono soluzioni complete con scansione automatica dei cookie, aggiornamenti normativi e supporto tecnico. Il costo va da 10 a 100 euro al mese a seconda del traffico generato sul sito.
Implementare i CMP è abbastanza immediato. Di norma tutto quello che ti è richiesto è inserire uno script nel tag head del sito, configurare le categorie di cookie e testare che tutto funzioni correttamente. La maggior parte dei CMP offre plugin per WordPress, Shopify e altre piattaforme.
Attenzione anche alla configurazione: devi infatti mappare correttamente ogni script del tuo sito nella categoria giusta. Google Analytics va in “Analytics”, Facebook Pixel in “Advertising”, chat widget in “Funzionalità”. Se sbagli categorizzazione, corri il rischio di rimanere non conforme!
Adeguamento di Google Analytics e altre soluzioni analytics
Come abbiamo in parte già introdotto, Google Analytics è il caso più complesso a nostra disposizione: GA4 standard trasferisce infatti i dati negli USA e li usa per advertising. Proprio per questo motivo, serve un apposito consenso esplicito. Ma puoi configurarlo per essere più privacy-friendly.
Per riuscirci, attiva l’anonimizzazione IP, disabilita la condivisione dati con Google per advertising, imposta data retention a 14 mesi massimo e utilizza server europei quando possibile. Con queste configurazioni, GA4 può essere considerato cookie analytics invece che di profilazione.
Alcune alternative privacy-first a cui puoi ricorrere sono Matomo (self-hosted), Plausible Analytics, Simple Analytics, che non trasferiscono dati a terzi e possono funzionare senza consenso se configurati correttamente per non profilare utenti.
Per e-commerce, Google Tag Manager deve essere configurato attentamente: ogni tag deve essere associato alla categoria corretta e attivarsi solo dopo consenso specifico. Insomma, non puoi far partire tutto insieme al primo consenso generico!
Verso un web cookieless: alternative già disponibili
Ma si può immaginare un web cookieless? Si possono fare a meno dei cookie lavorando con le alternative già disponibili?
Proviamo a tracciare qualche linea di azione.
Server-side tracking, fingerprinting e local storage: cosa è permesso
Alcuni modelli già ci dimostrano che il futuro del web va verso soluzioni cookieless, ma non tutte sono conformi alla privacy. Server-side tracking è ad esempio un approccio permesso se raccogli solo dati necessari al servizio e informi gli utenti su cosa raccogli. Il fingerprinting (identificazione tramite caratteristiche del browser) è considerato tracking invasivo e richiede consenso esplicito. Non puoi dunque raccogliere impronte digitali di nascosto, anche se tecnicamente possibile.
Anche local storage e session storage sono considerati equivalenti ai cookie per finalità privacy. Se ci salvi dati per analytics o profilazione, serve consenso: puoi usarli solo per dati tecnici necessari al funzionamento del sito.
Insomma, le nuove soluzioni – per quanto innovative e sempre più varie – devono sempre rispettare i principi GDPR: minimizzazione dei dati, finalità specifiche, trasparenza completa. Non basta essere tecnicamente cookieless, devi essere anche privacy-compliant!
Il ruolo di strumenti come Google Consent Mode v2 e Meta CAPI
Google Consent Mode v2 è diventato uno strumento fondamentale per chi usa Google Analytics e Google Ads: permette infatti di continuare la misurazione anche quando l’utente rifiuta i cookie, utilizzando segnali aggregati e modellazione statistica.
L’implementazione di tale taool richiede semplicemente di configurare i segnali di consenso: ad_storage per advertising, analytics_storage per analytics. Quando l’utente rifiuta, Google passa a modalità di misurazione limitata ma conforme.
Un cenno, in tale ambito, è meritato anche da parte di Meta Conversions API (CAPI), che consente di inviare dati conversioni direttamente dal server ai sistemi Meta, bypassando il browser. È privacy-compliant se usi solo dati che hai il diritto di processare e informi gli utenti.
Soluzioni etiche e privacy-first per editori e PMI
Per editori e PMI che dipendono da advertising, esistono soluzioni etiche che bilanciano business e privacy. La contextual advertising (pubblicità basata sul contenuto invece che sul profilo utente) sta ad esempio tornando di moda, così come il first-party data strategy: invece di comprare dati di terzi, investi nella raccolta consensuale di dati diretti tramite newsletter, account utente, survey. Sono più qualitativi e totalmente conformi.
Rileviamo ancora la privacy-first analytics, con strumenti come Fathom, Simple Analytics, Umami che offrono statistiche utili senza profilazione. Per la maggior parte dei siti sono sufficienti per decisioni business informate. Infine, le membership e i modelli su sottoscrizione: invece di monetizzare tramite advertising invasivo, offri contenuti premium a pagamento. Gli utenti preferiscono sempre più pagare per servizi che rispettano la loro privacy.
Esempi pratici di banner, configurazioni e scelte corrette
Nell’ultima parte della nostra guida, condividiamo di seguito alcuni esempi pratici di banner, configurazioni e scelte corrette per un sito corretto.
Siti conformi da cui prendere ispirazione
Alcuni siti italiani hanno implementato banner cookie esemplari. Il Corriere della Sera ha un sistema granulare chiaro, con spiegazioni semplici per ogni categoria di cookie e pulsanti ben visibili per accettare o rifiutare. Anche Amazon Italia gestisce bene la complessità: banner semplice iniziale, ma pannello di personalizzazione molto dettagliato che permette controllo granulare su ogni aspetto del tracking. La revoca del consenso è facilmente accessibile.
Errori comuni da evitare
L’errore più comune che dovresti evitare in questo ambito è il “cookie wall”, ovvero bloccare completamente l’accesso al sito se l’utente non accetta i cookie. È vietato dalla normativa europea e sanzionabile duramente.
Altri errori comuni che ti suggeriamo di considerare sono:
- Banner ingannevoli con pulsante “Accetta” grande e colorato mentre “Rifiuta” è piccolo e grigio. La parità di trattamento visivo è obbligatoria.
- Consenso pre-spuntato: mai, mai, mai lasciare checkbox già selezionate. Il consenso deve essere un’azione attiva e consapevole dell’utente.
- Assenza di possibilità di revoca: devi sempre permettere all’utente di cambiare idea. Il link per gestire i consensi deve essere facilmente trovabile, tipicamente nel footer.
- Informazioni vaghe: “cookie per migliorare l’esperienza” non significa nulla. Devi spiegare concretamente cosa fai con i dati raccolti!
Checklist finale per adeguare il sito e non rischiare sanzioni
Concludiamo dunque con la checklist finale che ti permetterà di adeguare il sito e non rischiare sanzioni:
- Audit iniziale: scansiona il tuo sito per identificare tutti i cookie e script di tracciamento attivi. Usa strumenti come Cookiebot scanner o OneTrust scanner.
- Categorizzazione corretta: classifica ogni cookie come tecnico, analytics o profilazione. In caso di dubbio, considera sempre la categoria più restrittiva.
- Implementazione CMP: installa un Cookie Management Platform conforme e configuralo correttamente per ogni categoria identificata.
- Test del banner: verifica che tutti i pulsanti funzionino, che le spiegazioni siano chiare e che la revoca del consenso sia possibile.
- Privacy policy aggiornata: assicurati che la privacy policy descriva accuratamente tutti i trattamenti di dati che effettui.
- Formazione del team: tutti quelli che gestiscono il sito devono capire la normativa per evitare errori inconsapevoli.
- Monitoraggio continuo: la compliance non è un evento una tantum, è un processo continuo. Controlla regolarmente che tutto funzioni correttamente.
- Documentazione: tieni traccia di tutte le decisioni prese e delle configurazioni implementate per eventuali controlli del Garante.
