Cosa sono i cookie?
I cookie sono piccoli file di testo che i siti web salvano nel tuo browser. Quando visiti un sito web, il server può inviare un cookie insieme al contenuto della pagina. Il tuo browser salva questo cookie e lo rinvia al server con ogni richiesta successiva. Questo semplice meccanismo — memorizza un valore, rinvialo — è alla base di quasi ogni esperienza web personalizzata.
Capire cosa sono i cookie, come funzionano e a cosa servono è il primo passo fondamentale verso la conformità in materia di cookie. Non puoi regolamentare ciò che non comprendi.
Come funzionano tecnicamente i cookie
Nella loro essenza, i cookie sono coppie chiave-valore. Un cookie ha un nome, un valore e una serie di attributi che ne controllano il comportamento. Quando un server web vuole impostare un cookie, include un'intestazione Set-Cookie nella sua risposta HTTP:
Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly
Questo comunica al browser: "Memorizza un cookie chiamato session_id con il valore abc123. Invialo con ogni richiesta verso qualsiasi percorso di questo dominio. Conservalo fino a marzo 2027. Invialo solo tramite HTTPS. E non permettere a JavaScript di accedervi."
Ad ogni richiesta successiva verso quel dominio, il browser include automaticamente il cookie nell'intestazione Cookie:
Cookie: session_id=abc123
Il server legge questo valore e sa da chi proviene la richiesta. Questo è l'intero meccanismo. I cookie non sono programmi. Non possono eseguire codice, accedere al tuo file system o installare alcunché. Sono dati passivi — stringhe di testo che viaggiano avanti e indietro tra browser e server.
A cosa servono i cookie
I cookie svolgono quattro grandi funzioni nel web moderno:
Autenticazione e gestione delle sessioni
Quando accedi a un sito web, il server crea una sessione e memorizza un identificatore di sessione univoco in un cookie. Senza questo cookie, il server non avrebbe modo di sapere che la tua richiesta di pagina successiva proviene dallo stesso utente autenticato. Ogni caricamento di pagina sembrerebbe una prima visita. Carrelli della spesa, account utente, dashboard di amministrazione — nessuno di questi funziona senza i cookie di sessione.
Preferenze dell'utente
I cookie ricordano le tue scelte. Preferenze linguistiche, impostazioni del tema (modalità scura o chiara), selezione della valuta, le scelte stesse sul consenso ai cookie — tutti questi elementi vengono in genere memorizzati nei cookie. Quando torni su un sito e questo sa già che preferisci il tedesco, quella informazione risiede in un cookie.
Analisi e prestazioni
Servizi come Google Analytics, Matomo e Plausible utilizzano i cookie per distinguere tra visitatori unici e visitatori di ritorno, per tracciare quali pagine vengono visualizzate in una singola sessione e per misurare come i visitatori navigano all'interno di un sito. Il cookie di analisi di solito non contiene direttamente informazioni personali — contiene un identificatore anonimo come _ga=GA1.2.123456789.1710000000.
Pubblicità e tracciamento
È qui che i cookie diventano un problema per la privacy. Le reti pubblicitarie utilizzano i cookie per tracciare gli utenti su più siti web, costruendo profili del comportamento di navigazione che consentono la pubblicità mirata. Quando visiti un sito di notizie e successivamente vedi annunci per un prodotto che hai visualizzato su un altro sito, sono i cookie di tracciamento cross-site a rendere possibile tutto ciò. Questi cookie di terze parti sono l'obiettivo principale della moderna normativa sulla privacy.
Breve storia dei cookie
I cookie furono inventati nel 1994 da Lou Montulli, un programmatore di Netscape Communications. Lo scopo originario era modesto: Netscape aveva bisogno di un modo per implementare un carrello della spesa per un cliente di e-commerce senza memorizzare il contenuto del carrello di ogni utente sul server. Montulli adattò il concetto di "magic cookie" dall'informatica Unix — piccoli token trasmessi tra programmi per mantenere lo stato.
I primi cookie erano una soluzione ingegneristica pratica. Ma il loro potenziale di tracciamento fu riconosciuto rapidamente. Già nel 1996 il Financial Times pubblicò il primo articolo di rilievo che sollevava preoccupazioni sulla privacy legate ai cookie. Nel 2002 l'UE aveva approvato la Direttiva ePrivacy che li affrontava specificamente.
Nei due decenni successivi, i cookie si sono evoluti da semplice strumento di gestione delle sessioni a spina dorsale dell'industria della pubblicità digitale — e a obiettivo principale della legislazione sulla privacy a livello mondiale.
Perché i cookie sono un problema per la privacy
La questione della privacy legata ai cookie non riguarda la tecnologia in sé. Un cookie che ricorda la tua preferenza linguistica è innocuo. La preoccupazione nasce da tre usi specifici:
- Tracciamento cross-site. I cookie di terze parti consentono alle reti pubblicitarie di seguire gli utenti attraverso il web, costruendo profili dettagliati del comportamento di navigazione. Un utente che visita un sito di informazioni mediche, il sito di un'organizzazione politica e un sito di incontri ha rivelato informazioni sensibili — e tutto ciò può essere collegato tramite i cookie.
- Mancanza di trasparenza. La maggior parte degli utenti non ha idea di quanti cookie vengano impostati quando visita un sito web tipico. Un singolo sito di notizie potrebbe impostare 50-100 cookie provenienti da decine di domini diversi. L'utente vede un solo sito web; dietro le quinte, decine di aziende osservano la sua visita.
- Persistenza. I cookie possono durare anni. Un cookie di tracciamento impostato nel 2024 può ancora identificare lo stesso utente nel 2026. Questa capacità di tracciamento a lungo termine, combinata con la portata cross-site, crea un'infrastruttura di sorveglianza che opera senza che la maggior parte degli utenti ne sia consapevole o abbia prestato un consenso significativo.
Queste preoccupazioni sono il motivo per cui la Direttiva ePrivacy (Articolo 5(3)) richiede il consenso informato prima di installare cookie non essenziali, e per cui il GDPR (Articoli 4(11) e 7) stabilisce condizioni rigorose su cosa costituisca un consenso valido.
Oltre i cookie: altre tecnologie di tracciamento
La moderna normativa sulla privacy non copre solo i cookie. La Direttiva ePrivacy fa riferimento all'"archiviazione di informazioni oppure all'accesso a informazioni già archiviate nell'apparecchiatura terminale di un abbonato o utente". Questa formulazione copre deliberatamente qualsiasi meccanismo di archiviazione lato client, tra cui:
- localStorage e sessionStorage — Le Web Storage API che permettono ai siti web di memorizzare quantità maggiori di dati nel browser. A differenza dei cookie, questi dati non vengono inviati automaticamente al server, ma possono comunque essere utilizzati per il tracciamento e richiedono il consenso secondo le stesse regole.
- IndexedDB — Un database lato client più potente. Si applicano le stesse regole sul consenso.
- Fingerprinting del browser — La raccolta di caratteristiche del dispositivo (risoluzione dello schermo, font installati, plugin del browser, fuso orario) per creare un identificatore univoco senza memorizzare nulla sul dispositivo. Sebbene il fingerprinting non utilizzi i cookie, è sempre più riconosciuto come una tecnologia di tracciamento che richiede il consenso. La CNIL francese e diverse altre autorità garanti hanno emesso linee guida che lo confermano.
- Pixel di tracciamento — Minuscole immagini invisibili caricate da un server di terze parti. La richiesta stessa rivela l'indirizzo IP dell'utente, il browser e la pagina in cui si trova. I pixel di tracciamento spesso operano in combinazione con i cookie, ma possono funzionare in modo indipendente.
- ETag e tracciamento basato sulla cache — Tecniche che sfruttano la cache del browser per memorizzare e recuperare identificatori. Sono meno comuni, ma dimostrano perché la normativa si concentra sul risultato (il tracciamento) piuttosto che sulla tecnologia specifica.
La conclusione pratica: se il tuo sito web memorizza o accede a informazioni sul dispositivo di un utente per scopi non essenziali, o se impiega tecniche per tracciare gli utenti tra una sessione e l'altra, il consenso è quasi certamente necessario — indipendentemente dal fatto che il meccanismo sia tecnicamente un "cookie".
Lo scanner di cookie di Passiro rileva tutti i cookie e le tecnologie di tracciamento presenti sul tuo sito web, incluso l'utilizzo di localStorage, gli script di terze parti e i pixel di tracciamento — offrendoti un quadro completo di ciò che il tuo sito raccoglie.
Punti chiave
- I cookie sono piccoli file di testo memorizzati dal browser e rinviati al server con ogni richiesta.
- Servono a scopi legittimi (autenticazione, preferenze) e a scopi sensibili per la privacy (analisi, pubblicità).
- I cookie di tracciamento di terze parti sono la principale preoccupazione della normativa sulla privacy.
- Altre tecnologie (localStorage, fingerprinting, pixel) sono soggette agli stessi requisiti di consenso.
- Capire quali cookie utilizza il tuo sito web è il primo passo verso la conformità.
Ora, esaminiamo nel dettaglio i diversi tipi di cookie — perché è il tipo a determinare i requisiti di consenso.
In questa sezione
Il tuo sito web è conforme alle normative sui cookie?
Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.
Scansiona i tuoi cookie gratis