Blog · Opinioni tecniche

Cookie, banner e «accetta tutto»: anatomia di una finta scelta

5 dicembre 2025 · biscotti indigesti o, peggio, avvelenati.

Perché il problema non è solo il banner dei cookie, ma il modo in cui è stato piegato a giustificare qualsiasi forma di tracciamento.

Il banner dei cookie è diventato lo sfondo sonoro del web: entri in un sito e, prima ancora di capire dove sei finito, ti trovi davanti il solito «Accetta tutto». Per molti è solo rumore di fondo. Per chi ci lavora tutti i giorni, invece, è il sintomo di una malattia più profonda: un ecosistema dove profilazione, marketing aggressivo e tracciamento onnipresente hanno preso il posto del web aperto, leggibile e un minimo rispettoso.

Questo post non è un trattato neutrale: è il punto di vista di un tecnico che, da anni, legge intestazioni HTTP, log, perizie e policy e vede da vicino come si è passati dai semplici cookie di sessione ai guardoni digitali in giacca e cravatta. Restiamo però con i piedi per terra: useremo esempi concreti, termini tecnici spiegati, e rimanderemo chi vuole “sporcarsi le mani” al documento operativo scaricabile da esperti.com/download.

1. Cookie tecnici: il male minore (quando servono davvero)

Partiamo da un fatto: i cookie tecnici non sono il nemico. Se hai un’area riservata, qualcuno deve pur ricordarsi che sei autenticato; se hai un carrello, da qualche parte bisogna tenere traccia di cosa ci hai messo. Da un punto di vista protocollare, il cookie è ancora uno dei modi più semplici e standard per dare ad HTTP quel minimo di memoria che gli manca.

Il classico esempio è il cookie di sessione tipo PHPSESSID=… o equivalenti lato framework. Lo imposti, lo leghi al dominio giusto, lo marchi Secure e HttpOnly, gli dai una scadenza ragionevole, e fine della storia: ti serve a tenere in piedi la sessione utente, non a vendergli la vita in comode rate.

Il problema non sono questi. Il problema è tutto il resto che si è appoggiato alla stessa infrastruttura tecnica (o l’ha aggirata) per trasformare ogni clic in un dato vendibile.

2. Dalla sessione al “profilo”: marketing, CMP e dark pattern

Quando il marketing ha capito che i cookie potevano essere usati non solo per ricordare un login, ma per seguire un dispositivo pagina dopo pagina, sito dopo sito, è partito il grande gioco della profilazione. Da lì in poi abbiamo visto esplodere:

  • cookie con scadenze a cinque o dieci anni, utili a costruire storici da romanzo,
  • interi ecosistemi di tracking third-party condivisi tra decine di siti,
  • piattaforme di “consent management” (CMP) che spesso servono più a difendere il fornitore che a informare l’utente.

A livello di interfaccia, molti banner di consenso sono manuali di dark pattern in tempo reale:

  • il pulsante «Accetta tutto» grande, colorato, ben visibile;
  • l’opzione «Rifiuta» nascosta (quando c'è) sotto un «Gestisci preferenze» in corpo 8,
  • liste interminabili di “partner” e categorie, in cui per dire davvero NO devi passare dieci minuti a spegnere interruttori.

Tecnica di base: aumentare il costo cognitivo del rifiuto, ridurre a zero lo sforzo per il consenso massimo. È perfettamente studiato, non è un incidente. Ed è qui che la distanza tra “spirito delle norme” e prassi quotidiana diventa imbarazzante.

3. Normative ben intenzionate, implementazioni da teatro

Sulla carta, le regole nate intorno ai cookie (direttiva ePrivacy, GDPR, linee guida varie) miravano a restituire controllo all’utente: informazione chiara, consenso libero, possibilità di rifiutare senza essere puniti. Nella pratica, una buona parte del mercato ha trasformato tutto questo in compliance teatrale: si “mette a posto” il banner, si conserva il log del consenso, ci si sente a posto con la coscienza… e il tracciamento continua, spesso indisturbato.

Dal lato tecnico lo si vede benissimo: banner che parlano solo di “cookie”, mentre sotto il cofano girano script che:

  • scrivono identificativi in localStorage e sessionStorage (Web Storage API),
  • utilizzano CNAME cloaking per far sembrare “di prima parte” chiamate che in realtà vanno a piattaforme terze,
  • spostano parte del tracciamento sul backend (server-side tracking) per sfuggire ai blocchi lato browser,
  • continuano a decorare i link con parametri di tracking (UTM, ID vari) che viaggiano comunque nelle URL.

Se ti limiti a guardare la “cookie policy” rischi di farti un’idea molto diversa rispetto a ciò che succede nei log e nei pacchetti. È il motivo per cui, quando posso, preferisco partire dal traffico reale e solo dopo leggere cosa racconta l’informativa.

4. Oltre i cookie: fingerprinting e altre astuzie

Un altro mito da smontare: no, togliere i cookie non basta a “salvare la privacy”. Quando il settore ha capito che i cookie iniziavano ad avere i riflettori puntati addosso, ha spostato parte del gioco su tecniche meno visibili, come il device fingerprinting.

In sintesi, invece di salvarti un identificativo esplicito, il sito:

  • rileva caratteristiche del browser (user agent, lingua, fuso orario),
  • interroga l’elenco dei font installati,
  • usa il canvas o WebGL per ottenere “impronte” grafiche specifiche,
  • usa l’audio, la dimensione dello schermo, la presenza di plugin o estensioni,
  • combina tutto in un hash che diventa il tuo ID “fantasma”.

Da un punto di vista tecnico è elegante, quasi affascinante. Dal punto di vista dell’utente è l’equivalente digitale di qualcuno che ti segue per strada, ti misura il passo, la voce, la postura, e ti riconosce anche se cambi giacca.

Mentre ci si scanna su banner e cookie “di terza parte”, queste tecniche lavorano a basso livello, spesso descritte in due righe generiche dentro policy infinite.

5. Il punto di vista di chi deve far funzionare le cose (non solo venderle)

Dal lato di chi progetta sistemi e fa perizie, la sensazione è duplice:

  • da un lato capisco che il business voglia misurare e ottimizzare: sapere se una campagna funziona, se una pagina converte, se un funnel ha un buco;
  • dall’altro vedo ogni giorno quanti dati vengono accumulati “perché sì”, senza una reale strategia, senza un ciclo di vita pensato, senza una minimizzazione sensata.

Il risultato è un web dove molti siti sono più preoccupati di estrarre valore dall’utente che di erogare valore all’utente. Dal punto di vista tecnico questo si traduce in:

  • pagine appesantite da decine di script di tracking e A/B testing,
  • performance degradate, con il tempo di caricamento che esplode,
  • superfici di attacco più ampie (ogni script terzo è un potenziale problema),
  • complessità inutile nella gestione di consensi, revoche, log.

6. Cosa può fare chi non vuole rassegnarsi

Da utente individuale, gli strumenti sono quelli noti: browser più rigorosi, estensioni di blocco, impostazioni di privacy un po’ più aggressive. Non risolvono tutto, ma spostano l’ago della bilancia. Da progettista o consulente, però, le leve sono più interessanti:

  • ridurre davvero il numero di tecnologie di tracking, togliendo ciò che non produce valore misurabile;
  • separare cookie tecnici (documentati bene) da tutto il resto, senza mischiare le carte nei banner;
  • pretendere trasparenza dai fornitori di piattaforme: cosa tracciano, dove finiscono i dati, con che logica vengono aggregati;
  • progettare la governance dei dati prima delle campagne marketing, non dopo.

È meno “sexy” di un report colorato con le conversioni in tempo reale, ma è l’unico modo per costruire qualcosa che non esploda alla prima richiesta seria di spiegazioni da parte di un’autorità o di un giudice.

7. Appendice tecnica: per chi vuole vedere i bit da vicino

Questo post resta volutamente a metà strada tra tecnica e critica: abbastanza dettagliato da capire il quadro, abbastanza leggero da poter essere letto senza avere davanti Wireshark. Per chi vuole andare oltre – e magari ha bisogno di impostare analisi ripetibili, perizie, audit – esiste una appendice tecnica dedicata.

L’appendice «Analisi dei cookie HTTP (livello utente e forense)» è scaricabile dalla sezione download del sito corporate. Non è linkata in home, non c’è un indice comodo: la trovi se segui il feed RSS di esperti.com, qualche post su Telegram o LinkedIn, oppure se arrivi qui e ti prendi il tempo di cliccare.

Lì dentro ci sono gli step di laboratorio: scenari di prova, esportazione dei file HAR, lettura di cookies.sqlite, esempi di cattura PCAP, modello di tabella per riportare i cookie in una perizia. Qui, resta lo spazio per fare ciò che altrove spesso manca: chiamare le cose col loro nome, distinguere la tecnologia che serve da quella che serve solo a spremere di più il visitatore, e ricordare che il web non è nato per essere una vetrina di banner «Accetta tutto».

Tag: cookie privacy tracking opinioni tecniche
Curriculum vitae completo
Profilo dettagliato, esperienze e aree di specializzazione:
www.esperti.com/cv/giovanni_grandesso.html
Sito corporate
Progetti, servizi e pubblicazioni professionali:
www.esperti.com
ANIP – Albo Nazionale Informatici Professionisti
Comunità professionale indipendente degli informatici:
www.alboinformatici.com

← Torna all’indice del blog