Skip to main content

IAB TCF v2.3: la guida completa al Transparency and Consent Framework

Il Transparency and Consent Framework (TCF) di IAB è uno standard di settore creato da IAB Europe che definisce come il consenso viene raccolto, memorizzato e comunicato tra publisher, inserzionisti e fornitori di ad-tech. Se il tuo sito web utilizza la pubblicità programmatica nello Spazio Economico Europeo, la conformità al TCF non è facoltativa.

Dal gennaio 2024, Google richiede a tutti i publisher che pubblicano annunci agli utenti dello SEE di utilizzare una piattaforma di gestione del consenso (CMP) registrata con IAB TCF. In assenza di questa, la pubblicità personalizzata viene disattivata e i ricavi pubblicitari calano in modo significativo.

Cos'è il TCF?

Il TCF risolve un problema di coordinamento. Quando un utente visita un sito web, decine di fornitori di ad-tech possono trattare i suoi dati tramite offerte in tempo reale (real-time bidding), retargeting, analisi e personalizzazione dei contenuti. Ogni fornitore deve sapere se l'utente ha prestato il consenso al proprio specifico tipo di trattamento dei dati. Prima del TCF non esisteva un modo standard per comunicare queste informazioni lungo l'intera catena di fornitura dell'ad-tech.

Il framework definisce un linguaggio comune per il consenso. Una CMP registrata al TCF raccoglie il consenso dell'utente e lo codifica in una TC String (Transparency and Consent String). Questa stringa è una rappresentazione compatta e standardizzata delle scelte di consenso dell'utente, che qualsiasi fornitore partecipante può leggere e interpretare.

Cronologia delle versioni del TCF

Versione Rilascio Modifiche principali
TCF v1.0 2018 Framework iniziale. Raccolta del consenso di base e formato della TC String.
TCF v2.0 2019 Introdotti legittimo interesse, finalità speciali, funzionalità e restrizioni per i publisher. Revisione importante del formato della stringa di consenso.
TCF v2.2 2023 Eliminato il legittimo interesse per la pubblicità mirata (finalità 3, 4, 5, 6). Risposta alla pressione normativa delle autorità di protezione dei dati dell'UE.
TCF v2.3 2024 Versione attuale. Perfezionamenti tecnici, requisiti di informativa dei fornitori migliorati e allineamento alle più recenti linee guida delle DPA.

Le 11 finalità del TCF

Il TCF definisce 11 finalità per il trattamento dei dati. Ogni finalità descrive uno specifico tipo di attività che un fornitore può svolgere con i dati degli utenti. Gli utenti possono acconsentire o rifiutare ciascuna finalità individualmente.

Finalità Descrizione Consenso richiesto
1Memorizzare e/o accedere a informazioni su un dispositivoSì (sempre)
2Selezionare annunci di base
3Creare un profilo di annunci personalizzati
4Selezionare annunci personalizzati
5Creare un profilo di contenuti personalizzati
6Selezionare contenuti personalizzati
7Misurare le prestazioni degli annunci
8Misurare le prestazioni dei contenuti
9Applicare ricerche di mercato per generare informazioni sul pubblico
10Sviluppare e migliorare i prodotti
11Utilizzare dati limitati per selezionare i contenuti

Nota: nel TCF v2.2 e successivi, il legittimo interesse non è più disponibile come base giuridica per le finalità 3, 4, 5 e 6. Queste finalità richiedono un consenso esplicito.

La Global Vendor List (GVL)

La Global Vendor List è un registro centrale gestito da IAB Europe che elenca ogni fornitore che partecipa al TCF. Ciascun fornitore dichiara quali finalità e funzionalità utilizza e se, per ognuna, si basa sul consenso o sul legittimo interesse.

Quando una CMP mostra un'interfaccia di consenso, recupera le informazioni sui fornitori dalla GVL affinché gli utenti possano vedere esattamente quali aziende tratteranno i loro dati e per quali finalità. Gli utenti possono acconsentire o rifiutare singoli fornitori, non solo le finalità.

Nel 2026 la GVL contiene oltre 1.200 fornitori registrati, tra cui Google, Meta, Amazon e la maggior parte delle principali aziende di ad-tech.

La TC String

La TC String è il cuore tecnico del framework. È una stringa codificata in Base64 che contiene lo stato completo del consenso dell'utente: a quali finalità ha acconsentito, quali fornitori ha approvato, se si applica il legittimo interesse ed eventuali restrizioni del publisher.

Ogni fornitore della catena ad-tech legge questa stringa per determinare quale trattamento gli è consentito eseguire per quello specifico utente. La stringa viene memorizzata nel browser dell'utente (in genere in un cookie chiamato euconsent-v2) e trasmessa lungo la catena di offerte tramite l'API JavaScript __tcfapi().

L'API JavaScript __tcfapi()

La __tcfapi() è una funzione JavaScript standardizzata che le CMP devono implementare. Consente a qualsiasi script della pagina di interrogare lo stato attuale del consenso. Tag pubblicitari, script di analisi e wrapper di header bidding utilizzano tutti questa API per verificare se hanno l'autorizzazione a trattare i dati.

Tra i comandi principali:

  • getTCData: restituisce la TC String attuale e i dati di consenso analizzati.
  • addEventListener: registra una callback per le modifiche dello stato del consenso.
  • ping: verifica se la CMP è caricata e pronta.

Prebid.js, Google Publisher Tags (GPT) e la maggior parte dei principali SDK di ad-tech chiamano automaticamente __tcfapi() per recuperare il consenso prima di effettuare richieste di offerta o attivare i pixel.

Messaggistica cross-frame

Le unità pubblicitarie vengono spesso eseguite in iframe su un dominio diverso da quello della pagina del publisher. A causa delle restrizioni della same-origin policy del browser, questi iframe non possono accedere direttamente alla funzione __tcfapi() presente nella pagina principale.

Il TCF risolve questo problema con un protocollo di messaggistica cross-frame. La CMP crea un iframe con un nome specifico (__tcfapiLocator) che funge da relè per i messaggi. Gli script dei fornitori all'interno degli iframe pubblicitari inviano richieste postMessage a questo frame localizzatore, che le inoltra alla CMP e restituisce i dati di consenso.

Questo meccanismo è essenziale affinché la pubblicità programmatica funzioni correttamente con il consenso. Senza di esso, le unità pubblicitarie negli iframe non avrebbero modo di verificare lo stato del consenso.

TCF e Google

Dal gennaio 2024, Google richiede ai publisher che pubblicano annunci agli utenti dello SEE di utilizzare una CMP certificata da Google che implementi IAB TCF v2.3. Questo requisito si applica a Google Ads, AdSense, Ad Manager, AdMob e DV360.

Google richiede inoltre Consent Mode v2 insieme al TCF. Il Consent Mode gestisce i tag di Google (Analytics, Ads), mentre il TCF gestisce l'ecosistema ad-tech più ampio. Entrambi sono necessari per la piena conformità.

Senza una CMP conforme al TCF, Google non pubblicherà annunci personalizzati agli utenti dello SEE, con una conseguente riduzione significativa dei ricavi pubblicitari.

TCF e Passiro

Passiro è registrata presso IAB Europe come CMP ID 499, con supporto completo a IAB TCF v2.3 incluso nel suo widget di consenso gratuito. Ciò comprende la generazione della TC String, l'API JavaScript __tcfapi(), la messaggistica cross-frame tramite l'iframe __tcfapiLocator, l'integrazione con la Global Vendor List v3, il consenso per singolo fornitore, l'opposizione al legittimo interesse e le restrizioni dei publisher.

La maggior parte delle CMP concorrenti applica una tariffa di 30-40 EUR al mese per sito per il supporto al TCF. Passiro lo include gratuitamente, senza limiti di pagine, senza limiti di traffico e senza restrizioni funzionali sulle funzionalità di consenso.

Il tuo sito web è conforme alle normative sui cookie?

Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.

Scansiona i tuoi cookie gratis