Cookie banner GDPR 2022: linee guida Garante Privacy + 6 strumenti per siti italiani

Dal 10 gennaio 2022 sono pienamente operative le nuove Linee guida cookie del Garante Privacy (provvedimento n. 231 del 10 giugno 2021), che hanno ridisegnato le regole su consenso, dark pattern e granularità delle scelte per qualunque sito italiano. Eppure, a marzo 2022 un’analisi pubblicata da Iubenda stimava che oltre l’80% delle PMI italiane non avesse ancora adeguato il proprio cookie banner: scroll considerato consenso, X che equivale ad “accetta tutti”, pulsante “rifiuta” nascosto in un sottolivello, mancanza di blocco preventivo dei tag di terze parti.

Le conseguenze non sono teoriche. A novembre 2021 il Garante ha sanzionato Caffeina Media per circa 60.000 euro; nei primi mesi del 2022 DSB austriaca e CNIL francese hanno dichiarato Google Analytics Universal incompatibile con il GDPR per il trasferimento dati verso gli USA. È del 9 giugno 2022 un primo provvedimento del Garante italiano sul tema, con effetti a cascata su migliaia di siti.

In questo articolo vediamo la normativa applicabile, le 8 regole chiave delle Linee guida 2021, sei strumenti CMP per implementare un banner conforme e una roadmap di 30 giorni per arrivare a conformità senza sacrificare le conversioni. Il cookie banner non è una questione cosmetica: è il punto di intersezione tra compliance, esperienza utente e tracciamento marketing.

Cosa sono davvero i cookie (e perché non sono solo cookie)

Tecnicamente, un cookie HTTP è un piccolo file di testo che il browser memorizza su richiesta del server e ritrasmette ad ogni richiesta successiva allo stesso dominio. Oggi è uno dei tanti “identificatori persistenti” disponibili sul lato client: accanto ai cookie troviamo localStorage, sessionStorage, IndexedDB, fingerprinting di canvas e font, etag della cache, identificatori pubblicitari su mobile.

Il Garante e le Linee guida 2021 sono espliciti: la disciplina del consenso non si applica solo al cookie in senso tecnico, ma a qualunque tecnologia di archiviazione o accesso a informazioni nel terminale dell’utente — la formulazione dell’art. 5(3) della Direttiva ePrivacy 2002/58/CE, recepita in Italia dall’art. 122 del Codice della privacy. In pratica: se uno script di terze parti deposita un identificatore nel localStorage, vale la stessa regola del cookie.

Le categorie di cookie secondo il Garante

Per pianificare un banner conforme è indispensabile classificare correttamente le tecnologie utilizzate. Le Linee guida 2021 e le FAQ del Garante distinguono quattro famiglie:

1. Cookie tecnici (art. 122 c.1, esenti da consenso): sessione utente, autenticazione, carrello e-commerce, bilanciamento di carico, preferenze di lingua o accessibilità.
2. Cookie statistici / analitici: possono essere assimilati ai tecnici solo se IP anonimizzato, dati non incrociati con altre informazioni di terze parti, provider che non li usa per finalità proprie. In assenza — il caso tipico di Google Analytics Universal — servono informativa e consenso preventivo.
3. Cookie di profilazione: tracciano comportamento per costruire profili, anche aggregati. Richiedono sempre consenso libero, specifico, inequivocabile.
4. Cookie di marketing e terze parti: pixel Meta, TikTok, LinkedIn, Google Ads, retargeting programmatic. Rientrano in profilazione e spesso comportano trasferimento dati extra-UE.

Tutti i cookie non tecnici devono essere bloccati prima del consenso (cosiddetto prior consent): non basta dichiararli, occorre che il browser non li riceva fino all’azione esplicita dell’utente.

Il quadro normativo: GDPR, ePrivacy, art. 122

Tre livelli normativi convivono e si integrano:

• GDPR (Reg. UE 2016/679): per i cookie di profilazione la base giuridica è il consenso dell’interessato (art. 6 lett. a, art. 7). Deve essere libero, specifico, informato, inequivocabile, dimostrabile e revocabile con la stessa facilità con cui è stato espresso (art. 7.3).
• Direttiva ePrivacy 2002/58/CE (art. 5.3): impone il consenso per qualsiasi archiviazione di informazioni nel terminale dell’utente, salvo cookie strettamente necessari. È lex specialis rispetto al GDPR sui cookie.
• D.Lgs. 196/2003, art. 122 (Codice italiano della privacy): recepisce la Direttiva ePrivacy. È la norma che il Garante richiama come base per le sue Linee guida.
• Linee guida Garante 10 giugno 2021 (provvedimento n. 231/2021, GU 9 luglio 2021): regole operative su banner, granularità, durata, scroll, dark pattern. Sei mesi di adeguamento previsti, piena vigenza dal 10 gennaio 2022.

Si aggiunge la giurisprudenza della Corte di Giustizia UE (Planet49, C-673/17 del 1° ottobre 2019), che ha sancito l’invalidità del consenso tramite caselle pre-spuntate.

Le 8 regole chiave delle Linee guida 2021

Riassumiamo, in ordine pratico, i punti su cui il Garante è stato più netto e che oggi rappresentano il “minimo sindacale” di un cookie banner conforme.

1. Lo scroll non è consenso

Per anni i banner italiani recitavano “scorrendo questa pagina accetti i cookie”. Il Garante chiarisce che lo scroll, da solo, non costituisce manifestazione inequivocabile di volontà. Può essere uno dei tasselli di una configurazione tecnica più complessa (ad esempio combinato con un’azione esplicita successiva), ma di per sé non vale come opt-in.

2. La continuazione della navigazione non è consenso

Stesso ragionamento per la formula “continuando a navigare accetti”. Cliccare su un link interno mentre il banner è visibile non è una manifestazione di consenso ai cookie di profilazione. Il banner deve restare sospeso fino a una scelta esplicita, oppure il sito deve funzionare con i soli cookie tecnici fino al consenso.

3. Consenso granulare per categoria

L’utente deve poter scegliere quali categorie di cookie attivare. Non basta un “accetta tutti” o “rifiuta tutti”: serve un pannello di preferenze che distingua almeno necessari, statistici, profilazione, marketing (o le categorie effettivamente in uso). La granularità deve essere disponibile nel primo livello del banner o tramite un link evidente al pannello di preferenze.

4. Niente dark pattern: la X equivale a “non accetto”

La X di chiusura del banner non può essere interpretata come consenso. Allo stesso modo, un “Accetta” colorato e prominente accanto a un “Rifiuta” sbiadito o nascosto in un sottomenu è un dark pattern vietato. La chiusura del banner senza scelta esplicita deve corrispondere al mantenimento dei soli cookie tecnici.

5. Rifiuta equivalente all’accetta, per visibilità

Il pulsante per rifiutare deve avere pari evidenza grafica del pulsante per accettare: stessa dimensione, stesso colore o contrasto, stessa posizione gerarchica. Non è obbligatorio che le diciture siano identiche, ma il principio di parità di trattamento delle opzioni è esplicito nelle Linee guida.

6. Informativa multi-livello

Il banner di primo livello deve essere conciso: identità del titolare, finalità sintetiche, link all’informativa estesa, pulsanti accetta/rifiuta/preferenze. L’informativa estesa (privacy/cookie policy) deve invece elencare tutti i cookie, durata, finalità, terze parti coinvolte e modalità di revoca.

7. Revoca semplice come accettazione

L’utente deve poter revocare il consenso con la stessa facilità con cui lo ha prestato (art. 7.3 GDPR). In pratica: un link “Preferenze cookie” o “Gestione consensi” sempre raggiungibile (footer, badge fluttuante) che riapre il pannello di scelta.

8. Durata massima 6 mesi, poi ripresenta

Se l’utente ha rifiutato (o non ha espresso scelta), il banner non va riproposto a ogni visita: il Garante indica una pausa di almeno 6 mesi, salvo modifiche sostanziali del trattamento. Se l’utente ha accettato, allo scadere di 6 mesi il consenso va comunque rinnovato. Questo richiede al CMP di tenere un log della scelta e della data.

Cosa è cambiato nel 2022: i casi Google Analytics

I primi mesi del 2022 sono uno spartiacque per il tracciamento analitico:

• 22 dicembre 2021 — DSB austriaca: primo provvedimento europeo che dichiara Google Analytics standard non conforme al GDPR, per il trasferimento di dati verso gli USA dopo Schrems II.
• 10 febbraio 2022 — CNIL francese: si allinea, ordinando a un sito francese di mettere in regola GA o sospenderlo.
• marzo–maggio 2022 — altre autorità (Liechtenstein, Olanda, Norvegia) avviano istruttorie analoghe.
• 9 giugno 2022 — il Garante italiano pubblica un primo provvedimento sul tema, in linea con le altre autorità europee. Per chi usa GA Universal in configurazione standard la situazione richiede valutazione caso per caso, possibile sostituzione con server-side o strumenti europei (Matomo, Plausible).

Conseguenza per il cookie banner: Google Analytics non può più essere trattato come “cookie tecnico” nemmeno con IP anonimizzato, perché il problema riguarda anche il trasferimento extra-UE. Va incluso nelle categorie soggette a consenso.

IAB TCF v2: il framework dell’industria pubblicitaria

Per chi utilizza pubblicità programmatica (Google Ad Manager, DSP, SSP, retargeting di terze parti), la conformità non passa solo dal banner. L’IAB Europe Transparency & Consent Framework v2 è lo standard tecnico che permette di trasmettere alla filiera pubblicitaria la scelta dell’utente in modo strutturato (la stringa TC).

I CMP certificati IAB TCF v2 (Iubenda, Cookiebot, OneTrust, Usercentrics, Quantcast Choice, Sourcepoint, Didomi) generano una TC string firmata digitalmente che viene letta dagli ad server. Senza questo, anche con consenso ottenuto, i partner pubblicitari non sanno se possono trattare il dato — e di fatto bloccano la monetizzazione o, peggio, trattano senza base giuridica.

Va segnalato che il TCF stesso è oggetto di verifica da parte delle autorità (l’APD belga ha pubblicato una decisione critica a febbraio 2022). Il framework resta lo standard di mercato, ma chi lo adotta deve documentare le scelte e seguire gli aggiornamenti.

Sei strumenti CMP per implementare un banner conforme

Vediamo nel dettaglio sei soluzioni di Consent Management Platform adatte al contesto italiano, dal piccolo blog al portale enterprise.

1. Iubenda — il riferimento italiano

Iubenda è il CMP più diffuso in Italia, sviluppato a Bologna dal 2011. Combina cookie solution, generatore di privacy policy e registro delle attività di trattamento. Punti di forza: documentazione e supporto in italiano, integrazioni native con WordPress, Shopify, Magento, Prestashop, configurazione del banner conforme alle Linee guida Garante “out of the box”.

• Prezzo: da circa 27 €/anno (privacy policy base) a 129 €/anno (Cookie Solution Pro per sito singolo) fino a piani agenzia.
• Cookie scan automatico ricorrente che confronta cookie dichiarati e cookie effettivamente trovati.
• Prior blocking tramite tag wrapper o auto-blocking per script noti.
• Log del consenso con archiviazione fino a 12 mesi e certificato in caso di contestazione.
• Certificazione IAB TCF v2 disponibile su piano dedicato.

2. Cookiebot (Cybot) — leader europeo

Cookiebot è sviluppato dalla danese Cybot (acquisita da Civic Computing nel 2018, ora Usercentrics Group). È particolarmente diffuso nel Nord Europa, ma con piena copertura della normativa italiana.

• Prezzo: piano gratuito fino a 100 sottopagine; a pagamento da 9 €/mese (siti piccoli) fino a 499 €/mese (enterprise multi-dominio).
• Scansione automatica mensile dei cookie reali, con report dettagliato.
• Geolocalizzazione del banner: regole diverse per UE, Regno Unito, California (CCPA), Brasile (LGPD).
• IAB TCF v2 certificato.
• Integrazione GTM nativa via “Cookiebot consent state” per gestire il prior consent dei tag.

3. OneTrust — la scelta enterprise

OneTrust (USA, Atlanta) è il riferimento enterprise globale. Pricing su quotazione, fuori portata per la piccola PMI ma standard per grandi gruppi, banche, assicurazioni. Suite completa che oltre al cookie consent copre DPIA, registro trattamenti, data subject request e vendor risk management; regole differenziate per oltre 100 giurisdizioni; audit log con segregation of duties; certificazione IAB TCF v2 e integrazione con server-side GTM.

4. Usercentrics — alternativa tedesca

Usercentrics, con sede a Monaco di Baviera, è cresciuta come alternativa europea agli incumbent USA: a inizio 2022 il gruppo ha acquisito Cookiebot. Prezzi da 11 €/mese (Starter) a 300 €/mese (Premium), con piani enterprise dedicati. UI configurabile in oltre 50 lingue, database di oltre 2.000 tag noti con prior blocking automatico, certificazione TCF v2 e integrazioni native con i principali CMS.

5. Complianz — il plugin WordPress open source

Per chi gestisce un sito WordPress senza budget, Complianz (dell’olandese Really Simple Plugins) è la scelta più solida tra i plugin gratuiti. Versione free con banner configurabile, scansione manuale, integrazione con i principali tracker (GA, GTM, Meta Pixel, Hotjar); versione Pro a 69 €/anno con cookie scan automatico ricorrente, geo-targeting e A/B test. Wizard guidato in italiano e nessun lock-in: tutta la configurazione resta nel database WordPress.

6. Termly — la soluzione low-cost USA

Termly è pensata per piccoli siti, interfaccia semplice e prezzi contenuti. Piano gratuito fino a 5.000 viewer/mese, a pagamento da 10 $/mese (Basic) a 40 $/mese (Pro+). Include generatori di privacy policy, cookie policy, ToS, EULA. Limite: localizzazione italiana parziale e banner di default meno conforme out-of-the-box alle indicazioni Garante rispetto a Iubenda o Cookiebot.

Cookie scan e audit: la fotografia reale del sito

Uno degli errori più comuni è dichiarare nel banner soltanto i cookie “noti”, ignorando quelli depositati indirettamente da terze parti: il pixel di Meta può caricare cookie di partner pubblicitari, le mappe interattive caricano font da Google, gli embed di YouTube depositano cookie DoubleClick.

Per questo le Linee guida 2021 ribadiscono il principio di accountability: il titolare deve sapere cosa accade sul proprio sito. Strumenti come Iubenda Cookie Solution scan, il Site Scanner di Cookiebot o l’open source CookieServe producono un report che confronta i cookie dichiarati con quelli effettivamente trovati. L’audit andrebbe ripetuto almeno una volta al mese in automatico, dopo ogni rilascio significativo e dopo ogni cambio di tema, plugin o piattaforma pubblicitaria.

Schema di implementazione: banner, preferenze, revoca, log

Indipendentemente dal CMP scelto, l’architettura di un cookie banner conforme nel 2022 si articola in quattro componenti:

1. Banner di primo livello: messaggio conciso (250-300 caratteri), tre pulsanti — Accetta, Rifiuta, Personalizza — di pari evidenza, link a privacy policy. Blocca di default i cookie non tecnici.
2. Pannello di preferenze: secondo livello con singole categorie (necessari, statistici, profilazione, marketing). I necessari sono attivi e non disattivabili; le altre categorie sono opt-in con toggle di default su “off”.
3. Badge di revoca: link sempre presente nel footer o badge fluttuante che riapre il pannello in qualunque momento.
4. Log del consenso: archiviazione lato server di data, IP anonimizzato, versione del banner, scelta espressa. Permette di dimostrare la conformità in caso di ispezione.

Sul piano tecnico, il prior consent si implementa con tag wrapper (ogni tag di terze parti incapsulato in una funzione che lo esegue solo se la categoria è attiva — approccio più pulito), GTM consent mode (GTM legge lo stato del consenso e blocca i tag) o auto-blocking via JavaScript del CMP (intercetta gli script noti; funziona meno per script custom).

Server-side GTM e tracking cookieless

Un trend significativo del 2021–2022 è l’adozione del server-side Google Tag Manager: invece di caricare i tag direttamente nel browser, le richieste passano per un endpoint sotto il dominio del sito (es. data.miosito.it) che inoltra i dati ai servizi finali. Vantaggi: minore esposizione di cookie di terze parti nel browser, possibilità di filtrare e anonimizzare i dati prima dell’invio, resilienza ai filtri ITP di Safari, riduzione del peso JavaScript con beneficio Core Web Vitals.

Attenzione: il server-side GTM non elimina la necessità di consenso. Se la finalità è profilazione, il consenso serve comunque. Aiuta però a dimostrare accountability e a ridurre il numero di terze parti direttamente attive sul browser.

Sanzioni e casi recenti: cosa rischiano le PMI

Il quadro sanzionatorio italiano sui cookie è ormai consolidato. Caffeina Media (provvedimento Garante n. 392 del 11 novembre 2021): 60.000 € per banner non conforme, cookie di profilazione attivi prima del consenso, informativa incompleta. Marriott International (ICO britannica, ottobre 2020): 18,4 milioni di sterline per data breach con scarsa accountability sui sistemi di tracking. Sanzioni medie italiane per PMI: nel range 5.000–50.000 € a seconda di volume di traffico, gravità, durata della non conformità e collaborazione con l’Autorità. Si aggiunge il rischio reputazionale: i provvedimenti del Garante sono pubblici e indicizzati e per un’azienda B2B il danno d’immagine può superare la sanzione.

Errori comuni nell’implementazione

Dall’esperienza di audit su decine di siti italiani, ecco gli errori che ricorrono con maggiore frequenza:

• Mancato prior blocking: il banner appare, ma Meta Pixel e Google Ads sono già caricati. Conformità solo apparente.
• “Rifiuta” mancante al primo livello: l’utente è costretto a passare dal pannello preferenze, contro le Linee guida.
• X come consenso implicito: dark pattern espressamente vietato.
• Log del consenso assente: l’art. 7.1 GDPR impone al titolare di poter dimostrare il consenso.
• Mancata granularità: un unico “accetta” non rispetta il requisito di specificità.
• Privacy policy generica: senza elenco cookie reali, durata, finalità e provider è insufficiente.
• Banner non ripresentato: dopo 6 mesi il consenso va comunque rinnovato.

Roadmap di conformità in 30 giorni

Un piano realistico per un sito di piccola–media complessità:

Giorni 1–3 — Audit iniziale. Scansione cookie con Iubenda, Cookiebot o tool gratuiti come CookieServe. Mappare tutti i cookie reali, le terze parti coinvolte, i dati inviati. Estendere a localStorage e sessionStorage.

Giorni 4–7 — Classificazione. Categorizzare ogni cookie come tecnico, statistico, profilazione, marketing. Identificare i flussi extra-UE e valutare le basi giuridiche del trasferimento (SCC, decisioni di adeguatezza).

Giorni 8–12 — Scelta del CMP. In base a budget, volumi, esigenze (TCF v2? multi-jurisdiction?), selezionare lo strumento e attivare l’account.

Giorni 13–18 — Implementazione banner. Configurare il primo livello secondo le Linee guida 2021: tre pulsanti equivalenti, pannello di preferenze granulare, prior blocking per tutti i cookie non tecnici.

Giorni 19–22 — Aggiornamento informative. Rivedere privacy e cookie policy: elenco cookie con durata e finalità, terze parti, modalità di revoca, dati del titolare e DPO se nominato.

Giorni 23–26 — Test. Verificare in staging che, con consenso rifiutato, nessun cookie non tecnico venga depositato (Chrome DevTools tab Application). Testare revoca e rinnovo a 6 mesi.

Giorni 27–30 — Documentazione. Aggiornare il registro dei trattamenti (art. 30 GDPR) e formare marketing e IT sulla gestione dei tag e del consent mode. Da questo momento la conformità è un processo continuo.

Conclusioni

Le Linee guida del Garante del 10 giugno 2021, operative dal 10 gennaio 2022, hanno alzato l’asticella. Non si tratta solo di “mettere un banner”: occorre ridisegnare il modo in cui il sito raccoglie consenso, blocca i tag, archivia le scelte e dimostra accountability. I provvedimenti su GA tra dicembre 2021 e giugno 2022 in Austria, Francia e Italia mostrano che le autorità guardano ai flussi reali di dati, non al banner di facciata.

La buona notizia: gli strumenti per essere conformi esistono, sono maturi e coprono ogni segmento di budget, dal plugin WordPress gratuito al CMP enterprise. Un cookie banner ben progettato non penalizza le conversioni: spesso aumenta la fiducia dell’utente e la qualità del dato raccolto.

Domande frequenti

Devo bloccare Google Analytics in attesa del provvedimento Garante?

Dopo DSB e CNIL (gen–feb 2022) e il provvedimento Garante del 9 giugno 2022, GA Universal con configurazione standard va trattato come strumento soggetto a consenso e con valutazione caso per caso del trasferimento dati. Alternative: configurazione con IP anonimizzato e SCC documentate, server-side GTM, sostituzione con Matomo o Plausible europei.

Il banner deve essere identico per utenti UE ed extra-UE?

No, è preferibile differenziarlo. Per utenti UE si applicano GDPR + Linee guida Garante. Per utenti USA può essere applicato il modello CCPA (opt-out). I CMP citati gestiscono la geo-targetizzazione in automatico.

Posso considerare GA un cookie tecnico se anonimizzo l’IP?

Le Linee guida 2021 richiedono anonimizzazione, no incrocio dati, no uso terze parti. Con i provvedimenti 2022 sul trasferimento USA, anche con IP anonimizzato la situazione va valutata con il DPO. La via prudente è chiedere consenso preventivo.

Quanto durano i log del consenso?

Il GDPR non fissa un termine esplicito; le prassi diffuse archiviano il log per la durata del consenso più 12 mesi a fini probatori. Iubenda, Cookiebot e gli altri CMP gestiscono l’archiviazione in automatico.

Cosa devo fare se uso Meta Pixel o altri pixel pubblicitari?

Sono identificatori di profilazione e marketing di terza parte: vanno bloccati prima del consenso, dichiarati nella cookie policy, inseriti nella categoria “marketing”. L’utente deve poter accettare gli statistici e rifiutare il marketing.

Il pulsante “Rifiuta” è davvero obbligatorio al primo livello?

Sì. Le Linee guida 2021 sono chiare: deve essere equivalente per visibilità all’accetta e disponibile al primo livello. Nasconderlo nel pannello di preferenze costituisce dark pattern.

Quanto costa adeguare un sito di piccole dimensioni?

Per un sito vetrina o un blog WordPress con CMP gratuito (Complianz) o low-cost (Iubenda base, Termly Free), il costo è praticamente zero in licenze e 6–10 ore di implementazione. Per e-commerce o portali con pubblicità programmatica il budget realistico è 1.500–3.000 € di setup più una licenza CMP da 100–500 € all’anno.