Banner di consenso cookie

Cosa controlla questo check

Analizza la pagina renderizzata cercando (a) tracker di terze parti non essenziali — Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, fbq, gtag — e (b) un banner di consenso cookie di Cookiebot, OneTrust, Iubenda, Osano, Termly, Klaro, Borlabs, Cookieyes o un dialogo custom. Il check fallisce quando i tracker sono presenti ma non viene trovato alcun banner.

Perché è importante

Secondo la normativa UE e UK, i cookie non essenziali e le tecnologie di tracciamento simili richiedono consenso preventivo, liberamente prestato, specifico, informato, inequivocabile prima di attivarsi. “L’uso continuato implica il consenso” non vale, e nemmeno le caselle pre-spuntate.

• Multe GDPR. Fino al 4% del fatturato globale annuo. Le autorità (CNIL in Francia, AEPD in Spagna, Garante in Italia) hanno ripetutamente multato siti che fanno partire Google Analytics o Meta Pixel prima del consenso.
• Esposizione a class action. Le leggi statali USA (CCPA/CPRA, Colorado CPA, Virginia VCDPA) e il Digital Services Act UE aggiungono percorsi separati di azione privata.
• Conversioni. Senza una configurazione Consent Mode v2, Google Ads e Analytics scartano gli eventi senza consenso invece di modellarli — il tuo reporting e le audience pubblicitarie degradano silenziosamente.

Come risolvere

Scegli un banner che supporti IAB TCF v2.2 + Google Consent Mode v2 (la combinazione che Google richiede da marzo 2024 per gli utenti SEE):

• Cookiebot — a pagamento, completo, scansiona il tuo sito ogni settimana per tenere aggiornato l’elenco cookie.
• OneTrust — enterprise; la scelta predefinita se usi già OneTrust per il privacy management.
• Iubenda — accessibile, multilingua, ottimo per le PMI.
• Klaro — open-source, self-hosted.

Esempio Cookiebot — metti questo nel <head> prima di ogni altro script di tracciamento:

<script id="Cookiebot"
  src="https://consent.cookiebot.com/uc.js"
  data-cbid="YOUR-CBID"
  data-blockingmode="auto"
  type="text/javascript"></script>

Imposta ogni tracker (GA4, gtag, Meta Pixel, ecc.) come type="text/plain" con data-cookieconsent="statistics" (o "marketing") — Cookiebot li riscrive a text/javascript solo dopo il consenso.

Google Consent Mode v2 — inizializza gtag('consent', 'default', { ... }) con tutto su denied prima di caricare GA, poi aggiorna a granted dal callback del banner. Altrimenti GA scarta il 100% degli eventi SEE invece di usare la modellazione del consenso.

Verifica cosa stai facendo partire. Apri DevTools → Application → Cookie in una finestra in incognito e carica la pagina senza cliccare il banner. Se vedi _ga, _fbp, _hjSessionUser_* o qualsiasi cosa da un dominio di tracking, stai sparando prima del consenso — questa è la violazione.

Domande frequenti

Mi serve un banner se uso solo Google Analytics?

Sì — in SEE, UK e Svizzera, GA è classificato come non essenziale da ogni autorità di controllo che si è pronunciata. Lo stesso vale se usi solo un Meta Pixel o uno strumento di A/B-test di terze parti.

E gli analytics cookieless come Plausible o Fathom?

Se lo strumento non memorizza cookie, non fingerprintano dispositivi e non trasmette dati personali, puoi sostenere che è essenziale e saltare il banner. Plausible e Fathom si presentano come “GDPR-friendly senza banner” su questa base; controlla la loro attestazione attuale prima di fidarti.

Il mio audit è fallito ma ho un banner — cosa succede?

O lo script del banner si carica dopo che parte un tracker (i tracker corrono prima che la decisione di consenso atterri), il banner appare solo in certe regioni e MetricSpot sta facendo l’audit da fuori quella regione, oppure la signature di rilevamento non corrisponde al vendor che usi. Conferma aprendo DevTools e guardando l’ordine delle richieste al primo caricamento.