Banner Cookie non conformi: 5 errori da evitare

Sottovalutare l’importanza di un banner cookie – ritenendo che nessuno lo legga o che non possa attirare l’attenzione dell’autorità di controllo – è un errore molto diffuso. La realtà, invece, è che i cookie banner sono sotto la lente del Garante per la Protezione dei Dati Personali: nella Relazione annuale 2024, l’Autorità ha già annunciato che “l’attività di verifica in tale specifico ambito proseguirà anche nel corso del 2025, rappresentando una delle linee di priorità”. Questo orientamento, in continuità con le Linee guida sui cookie emanate nel 2021, indica chiaramente che la conformità dei banner cookie sarà oggetto di controlli mirati anche in futuro.

‍

Un tipico esempio di banner per la gestione dei cookie su un sito web.

A conferma di questa tendenza, un recente provvedimento del Garante (n. 327 del 4 giugno 2025) ha fatto luce su vari errori comuni da evitare. In tale decisione viene descritto come il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, su delega del Garante, abbia condotto accertamenti online a campione su diversi siti web.

L’ispezione di un sito di e-commerce, in particolare, ha portato alla luce diverse non conformità nella gestione dei cookie. L’analisi di queste violazioni fornisce un utile elenco degli sbagli più frequenti commessi dai titolari dei siti web nella configurazione di banner e strumenti di tracciamento. Di seguito, passiamo in rassegna i principali errori emersi e come prevenirli.

1 -Delegare la responsabilità

Il primo aspetto critico riscontrato è la convinzione di poter delegare o attenuare la responsabilità sulla gestione dei cookie. Nel caso in esame, l’azienda si era difesa sostenendo di non avere “competenze tecniche per aggiornare direttamente l’informativa cookie” e quindi di aver affidato a terzi questo compito. Questa posizione è fallace: nel sistema del GDPR le responsabilità “si aggiungono e non si sottraggono”. In altre parole, il titolare del trattamento rimane sempre responsabile di assicurare il rispetto delle norme, anche se si affida a fornitori esterni o software di terze parti.

Ogni obbligo in materia di protezione dati – in particolare garantire la trasparenza con informative complete e corrette, e la liceità tramite l’acquisizione di consensi validi quando necessari – grava comunque sul titolare del sito. Nessuna carenza di competenze tecniche interna può giustificare il mancato adeguamento: se occorre, l’azienda dovrà avvalersi di risorse o consulenze esterne, ma non potrà sottrarsi ai propri doveri di conformità.

2 - Banner senza opzione “Rifiuta tutti”

Il secondo problema rilevato riguarda la struttura del banner cookie e le scelte offerte all’utente. Nel caso analizzato, al caricamento del sito compariva un banner che consentiva solo due azioni: “Accetta tutti” i cookie oppure personalizzare le impostazioni dei cookie. Non veniva invece presentata in modo chiaro la possibilità di rifiutare tutti i cookie con un singolo clic Questa mancanza va contro le migliori prassi di usabilità e trasparenza: all’utente dovrebbe sempre essere offerta una scelta uguale e contraria a “Accetta”, idealmente già nel primo livello del banner. Va precisato che, secondo un rapporto della task force dell’EDPB (Comitato Europeo per la Protezione dei Dati) sui cookie banner, l’assenza del pulsante “Rifiuta tutti” al primo livello non costituisce di per sé una violazione se l’opzione di rifiuto è comunque facilmente accessibile in un secondo step (ad esempio nella schermata di personalizzazione delle preferenze). Tuttavia, diverse Autorità europee adottano un approccio più restrittivo, imponendo di fatto la presenza di entrambe le opzioni (“Accetta” e “Rifiuta”) già nell’informativa di primo livello.

‍Best practice: per evitare contestazioni, è consigliabile configurare il proprio banner cookie in modo che l’utente possa respingere tutti i cookie non tecnici con la stessa immediatezza con cui può accettarli.

3 - Riproporre il banner ad ogni visita (dark pattern)

‍Un’ulteriore pratica scorretta individuata è il meccanismo per cui, se l’utente chiude semplicemente il banner senza fare una scelta esplicita, alla visita successiva il banner riappare nuovamente chiedendo il consenso. Nel caso esaminato, alla chiusura del banner la navigazione proseguiva giustamente senza cookie non tecnici (impostazioni di default), ma ad ogni accesso successivo la richiesta veniva ripresentata insistentemente. Questo comportamento configura un dark pattern piuttosto diffuso, che provoca la cosiddetta “consent fatigue” (stanchezza da richieste di consenso) forzando, di fatto, l’utente ad accettare i cookie pur di evitare continui pop-up di richiesta. Si tratta di una strategia manipolativa già contestata dalle autorità di controllo, perché compromette la libertà di scelta dell’utente.

‍Best practice: evitare di sottoporre ripetutamente il banner ad ogni visita se l’utente ha già espresso (o chiaramente sottinteso, come nel caso di chiusura) il diniego; è opportuno invece ricordare la preferenza dell’utente per un periodo congruo, riducendo la frequenza delle richieste di consenso e migliorando così l’esperienza di navigazione.

4 - Mancanza di avvertenze sulla chiusura del banner

‍Direttamente collegato al punto precedente è l’assenza di trasparenza sulle conseguenze della chiusura del banner. Nel banner esaminato, infatti, non era presente alcun messaggio esplicativo su cosa sarebbe successo chiudendo la finestra senza scegliere un’opzione. L’utente non veniva avvisato, ad esempio, che continuando la navigazione senza interagire con il banner avrebbe mantenuto soltanto i cookie tecnici attivi (escludendo quelli di profilazione o altri non essenziali). Il Garante Privacy ha rilevato questa carenza informativa come un elemento di non conformità Un banner a norma dovrebbe sempre indicare chiaramente le conseguenze di ogni azione possibile: accettare tutti i cookie, rifiutarli, personalizzare le scelte oppure chiudere il banner. In tal modo l’utente è consapevole di come procederà la navigazione in base alla sua scelta (o non scelta), soddisfacendo il requisito di trasparenza previsto dal GDPR.

5 -Informative cookie e privacy incomplete o obsolete

‍L’ultimo aspetto, forse il più sostanziale, riguarda la qualità della documentazione sui cookie. Sebbene il sito offrisse link a Privacy e Cookie Policy e un pannello di gestione, i contenuti erano inadeguati: riferimenti a norme abrogate, mancanza di dati essenziali (come i destinatari), assenza di cenni ai cookie nella Privacy Policy e, a tratti, Cookie Policy irraggiungibile. Queste carenze violano i principi di trasparenza del GDPR, che impone informative chiare, complete e accessibili anche in caso di soli cookie tecnici. L’informativa può essere integrata o stratificata, ma deve sempre riportare informazioni aggiornate su tipologie di cookie, finalità, terze parti, tempi di conservazione, diritti degli utenti e destinatari.

‍Best practice: aggiornare tempestivamente le proprie Privacy e Cookie Policy in base alla normativa vigente, verificando che non contengano riferimenti obsoleti e che includano tutti i dettagli richiesti. Queste informative dovrebbero essere sempre raggiungibili dal sito (ad esempio, tramite link nel footer) e coerenti tra loro.

‍

Conseguenze del caso ed evoluzione dei controlli

La somma di queste irregolarità ha comportato per l’azienda ispezionata la contestazione di violazioni multiple del GDPR: in particolare degli artt. 5, 7, 12, 13, 24 e 25, oltre all’art. 122 del Codice Privacy (relativo ai cookie) e al mancato rispetto delle Linee guida sui cookie del 2021. In sede di conclusione del procedimento, il Garante ha esercitato il suo potere correttivo emettendo un’ingiunzione con prescrizione di misure correttive (ai sensi dell’art. 58, par. 2, lett. d GDPR) e ha deciso di infliggere soltanto un ammonimento – invece di una sanzione pecuniaria – “in ragione delle specificità dell’accertamento”. In altre parole, vista la particolarità del caso (probabilmente la cooperazione del titolare nel correggere le violazioni o altri fattori attenuanti), l’Autorità ha optato per una forma di clemenza.

Questo esito non deve però indurre a credere che future violazioni simili saranno trattate con la stessa benevolenza. Da un lato, l’accertamento in questione risaliva al 2023; dall’altro, il Garante negli ultimi tempi ha più volte evidenziato criticità comuni sui cookie e fornito indicazioni per mettersi in regola. È lecito aspettarsi che, d’ora in avanti, la ripetizione di questi errori – dopo tutti gli avvertimenti ricevuti – possa portare a sanzioni ben più severe. In sintesi, chi non adegua i propri banner e le proprie policy alla normativa privacy sta aggravando la propria posizione e rischia provvedimenti sanzionatori più pesanti in caso di controlli.

Principali errori da evitare:

• Sottovalutare il banner cookie considerandolo una formalità trascurabile.
• Non offrire all’utente l’opzione chiara di “Rifiuta tutti” già nel primo livello del banner.
• Riproporre continuamente il banner ad ogni visita finché l’utente non accetta (provocando consent fatigue).
• Non spiegare cosa accade se l’utente chiude il banner senza scegliere (mancanza di trasparenza immediata).
• Mantenere Privacy Policy o Cookie Policy obsolete, incomplete o non facilmente accessibili sul sito.

Best practice raccomandate:

• Fornire sempre un doppio pulsante “Accetta tutti” / “Rifiuta tutti” ben visibile al primo livello del banner.
• Garantire un’interfaccia di consenso user-friendly, evitando approcci vessatori: se l’utente rifiuta o ignora il banner, rispettare la sua decisione almeno per un periodo adeguato senza riproporre subito la richiesta.
• Indicare chiaramente nel banner le conseguenze di ogni azione (accettare, rifiutare, personalizzare o chiudere), così che l’utente sappia come procede la navigazione in base alla sua scelta.
• Mantenere sempre aggiornata l’informativa sui cookie (eventualmente integrata nella Privacy Policy) conforme ai requisiti GDPR, anche quando si usano solo cookie tecnici. Assicurarsi che includa tutte le informazioni necessarie (finalità, terze parti, diritti, destinatari, ecc.) e che sia facilmente reperibile (ad esempio con link nel footer).
• Investire in formazione o risorse competenti per la gestione dei cookie: la responsabilità finale resta in capo all’azienda. È fondamentale predisporre procedure interne per aggiornare banner e informative ad ogni cambiamento normativo o tecnologico rilevante.

‍

In conclusione, imprese e responsabili della conformità privacy sono chiamati ad agire proattivamente. Alla luce di quanto emerso, è il momento di rivedere i propri meccanismi di cookie consent e le informative collegate, correggendo gli errori più comuni e implementando le best practice sopra descritte. Agire subito – prima di incorrere in ispezioni – significa non solo evitare sanzioni, ma anche dimostrare trasparenza e attenzione alla privacy degli utenti, rafforzando così la fiducia nel proprio brand.