“Accetta i cookie.” Quante volte vediamo questa frase aprendo un sito web? Uno spazio virtuale dove ci imbattiamo in banner, pop-up e avvisi insistenti sulla privacy, su cui spesso clicchiamo meccanicamente su “Accetta”, senza domandarci davvero cosa ciò comporti. Poi, chiuso il sito, ecco che – misteriosamente – compaiono ovunque annunci relativi a un prodotto che avevamo cercato distrattamente giorni, settimane o perfino mesi prima. Cos’è successo nel frattempo? Come mai, aprendo un portale di news o un social network, ci salta fuori la pubblicità di quella medesima, curiosa “canna da pesca” o dell’ultimo “smartphone” visitato?
La risposta sta tutta in una piccola, ma potentissima, tecnologia informatica: i cookie. Da semplici righe di testo che i server salvano sul nostro browser, i cookie si sono trasformati nel motore invisibile dietro la personalizzazione online, i tracciamenti delle aziende, i calcoli delle spese pubblicitarie e la grande – grandissima – questione della privacy. In questo lunghissimo articolo, vedremo in maniera estremamente approfondita cosa sono i cookie, come funzionano, che dati raccolgono, perché la legislazione europea ha imposto a tutti i siti di chiedere il nostro consenso, e quali implicazioni si nascondono dietro un semplice click su “Accetta”. Sarà un viaggio lungo, ricco di dettagli storici, tecnici e giuridici, che ci svelerà come la nostra esperienza sul web non sia mai stata così “gratuita”, ma semmai sovvenzionata da un enorme mercato pubblicitario che vive delle nostre abitudini di navigazione.

1. Storia e origine dei cookie: come tutto è iniziato
Prima di tutto, un po’ di storia. Il termine “cookie” risale alla seconda metà degli anni ’90 e deriva dalla metafora dei “magic cookies” usati in informatica e in ambienti Unix. L’idea fu proposta nel 1994 da Lou Montulli, un programmatore di Netscape Communications, per risolvere un problema apparentemente banale: riconoscere le preferenze di un utente che visita un sito web.
Negli albori di Internet, le pagine web erano statiche, e i server non memorizzavano quasi nulla riguardo alle nostre visite. Così, ogni volta che tornavamo su un sito, questo ci considerava come perfetti sconosciuti. La funzione originaria dei cookie, quindi, era migliorare l’esperienza dell’utente, ad esempio tenendo a mente il contenuto di un carrello per l’e-commerce o ricordando le lingue e i layout preferiti. In pratica, i cookie erano un file di testo salvato nel nostro browser, contenente un identificativo univoco, alcune informazioni di configurazione e una data di scadenza.
Questa semplice invenzione aprì le porte a una navigazione web molto più dinamica e personalizzata. Con il passare degli anni, però, l’impiego dei cookie si ampliò ben oltre la semplice “comodità” per l’utente: le agenzie pubblicitarie e i circuiti di marketing compresero che questi file avrebbero potuto tracciare i comportamenti di navigazione e creare profili piuttosto precisi sui gusti, gli interessi e perfino la posizione geografica dei consumatori. Da “semplice ricordino” usato per la sessione di un sito, il cookie divenne un “tracciante globale” capace di seguire una persona da un dominio all’altro.

2. Che cos’è un cookie a livello tecnico
Tecnicamente, un cookie non è altro che un breve testo, composto da coppie chiave-valore (ad esempio: username=scopri24, lingua=it, sessionID=X4yZ…) che il server web spedisce al client (il browser sul nostro computer o smartphone). Il browser, a sua volta, lo memorizza e lo restituisce al server in occasione delle richieste successive, fintanto che il cookie è valido.
Tale validità dipende spesso dalla “durata” impostata dal server. Se un cookie è di sessione, scade quando chiudiamo il browser; se è persistente, può durare giorni, mesi o addirittura anni (pensiamo ai cookie che ricordano la nostra autenticazione su un sito). I cookie, inoltre, possono essere:

Cookie tecnici: Servono a funzioni essenziali per il sito (login, carrello, preferenze di lingua, memorizzare i consensi), non tracciano in modo invasivo, e in base alla normativa non richiedono un consenso esplicito.
Cookie di profilazione: Raccolgono dati utili a creare un profilo dell’utente, così da mostrare pubblicità personalizzate. Questi, in Europa, richiedono un consenso esplicito.
Cookie di terze parti: Non sono impostati dal sito stesso che visitiamo, ma da un dominio esterno (spesso correlato a un circuito pubblicitario, come Google Ads, Facebook, o altre piattaforme). Questi cookie consentono a un terzo soggetto di registrare la nostra navigazione e analizzare i nostri interessi trasversalmente su più siti.

3. I banner cookie e il GDPR: perché ora tutti chiedono il consenso
Molti si domandano: “Ma perché una volta non c’erano questi avvisi e adesso sono dappertutto?” La risposta è il GDPR (Regolamento generale sulla protezione dei dati, in vigore dal 25 maggio 2018), la principale legge europea sulla privacy. Tale normativa prevede che, per processare i dati personali di un utente, occorre una base giuridica (il consenso, un obbligo contrattuale, un legittimo interesse ecc.). Nel caso dei cookie di profilazione, la base giuridica tipicamente richiesta è proprio il consenso informato.
In altre parole, se un sito desidera installare cookie che non siano meramente “tecnici” (cioè indispensabili al funzionamento del sito) ma volti a tracciare e profilare, deve avvisare l’utente con un banner e chiedere: “Accetti di essere tracciato?”
Se l’utente clicca “Accetta”, ecco che il sito (e i suoi partner pubblicitari) possono depositare cookie di tracciamento e studiare la navigazione. Se clicca “Rifiuta” (o nega il consenso), allora non si dovrebbe installare alcun cookie di profilazione.
La realtà, però, può essere più complicata. Molti siti usano dark pattern per “invitare” l’utente a cliccare su “Accetta” (il tasto “Accetta” è enorme e colorato, mentre il tasto “Rifiuta” è minuscolo o nascosto), oppure collocano link ambigui tipo “Personalizza” e, dentro, vi sono decine di opzioni da disattivare. Alcuni siti non rispettano le scelte di rifiuto e installano comunque cookie di profilazione. Questo comporta violazioni potenziali e rischi di sanzioni. Ecco perché esistono aziende specializzate (come OneTrust o Cookiebot, e la citata “enda” del video) che verificano la compliance dei siti.

4. Come funzionano gli annunci personalizzati
Molti utenti, dopo aver visitato un e-commerce di “canna da pesca” o “lavatrice di ultima generazione”, si ritrovano ovunque, su siti di news, blog o social, pubblicità del medesimo prodotto. Questo meccanismo si chiama remarketing o retargeting. Ma come fanno i siti a “parlarsi”? La chiave sta nei cookie di terze parti e nei pixel di tracciamento.
Immaginiamo che un sito di news abbia spazi pubblicitari gestiti da un ad-server, per esempio Google Ads. Se l’utente ha visitato un e-commerce di canne da pesca, quell’e-commerce può aver installato un “pixel” (ad es. “Google remarketing tag”), che crea un cookie associato alla persona, dicendo al sistema “questo utente è interessato alla pesca sportiva”. Quando poi l’utente atterra sul sito di news, lo stesso sistema Google Ads riconosce la persona tramite il cookie e decide di mostrargli un banner su una canna da pesca in sconto, perché lo considera un buon target.
La personalizzazione dell’annuncio è stata resa possibile dallo scambio di informazioni centralizzate in un “account” (del circuito pubblicitario), dove i cookie contengono ID e preferenze. Sia l’e-commerce sia il sito di news si appoggiano allo stesso fornitore pubblicitario (come Google Ads, Facebook Ads, etc.). Così, se l’utente ha concesso i cookie di terze parti, ecco che l’inserzionista sa di poter “ripresentare” l’annuncio. Questo risulta molto redditizio per i venditori, perché un cliente che ha già mostrato interesse per un prodotto ha maggiori probabilità di concludere l’acquisto, e riproporgli l’annuncio incrementa la chance di conversione.

5. Cookie e privacy: gli aspetti legislativi e la crescente consapevolezza
La comparsa di questi banner di consenso riflette l’esigenza di rispettare leggi come il GDPR in Europa, il CCPA in California o altre normative sul trattamento dei dati. Le sanzioni per chi non rispetta i principi di trasparenza e di libera scelta possono essere elevate (fino a 20 milioni di euro o al 4% del fatturato globale annuo, nel caso del GDPR, a seconda di quale sia superiore).
Ma c’è un’altra domanda da porsi: “Accettando o rifiutando i cookie, quanto cambia davvero la mia esperienza? E la mia privacy è al sicuro?” In teoria, se rifiuto, non dovrei ricevere tracciamenti incrociati. In pratica, alcuni siti applicano misure di fingerprinting, ovvero raccolgono informazioni su dimensioni dello schermo, caratteristiche del browser, plugin installati e altri parametri, riuscendo comunque a “riconoscermi” anche senza cookie. Ciò è vietato in Europa se non c’è un consenso, ma la realtà è che molti attuano soluzioni borderline.
D’altro canto, la scelta di “Rifiuta” non rimuove la pubblicità, ma riduce la personalizzazione. Pertanto, potrei comunque vedere banner pubblicitari random su argomenti a me poco attinenti, o di beni e servizi generici. Sotto questo profilo, la pubblicità personalizzata è meno “fastidiosa” perché almeno è in linea coi miei gusti. Sta al singolo decidere se preferisce minor personalizzazione e un po’ più di privacy, o viceversa.
Un tema correlato è la differenza tra i cookie tecnici e i cookie analitici. I primi, come detto, sono necessari ad esempio per ricordare un login, mentre i secondi servono a raccogliere statistiche d’uso del sito (es. quante pagine ha visitato l’utente?). Il GDPR impone, anche per i cookie analitici, un certo livello di informativa, specialmente se i dati sono incrociati con altri. In un panorama perfetto, l’utente dovrebbe essere in grado di scegliere con facilità: “Accetto i cookie tecnici, ma non voglio quelli analitici” o “Accetto i cookie analitici ma non voglio i cookie di profilazione”. Purtroppo, molte implementazioni di banner rendono la personalizzazione complessa.

6. Il business della pubblicità online e il ruolo dei cookie
Perché si parla di “accettare i cookie”? Perché la pubblicità online ha assunto proporzioni colossali, superando in certi mercati anche la pubblicità televisiva e su carta stampata. Aziende come Google (con DoubleClick, AdSense, etc.), Meta (Facebook Ads, Instagram Ads) e Amazon, ma anche migliaia di ad-network minori, si contendono miliardi di euro/dollari generati dalla vendita di spazi pubblicitari profilati. Più sanno di noi, più possono “targettizzare” l’annuncio, e più quell’annuncio diventa prezioso perché mirato a chi potenzialmente è già interessato.
“Ma la pubblicità personalizzata è un male?” Non necessariamente. Da un lato, ci tormenta con banner “invasivi”. Dall’altro, il modello economico basato sugli annunci “mirati” fa sì che moltissimi contenuti e servizi online siano gratuiti per l’utente. Pensiamo alle testate giornalistiche online, ai blog specializzati, ai servizi meteo, alle app su smartphone: la maggior parte di essi si sostiene con la pubblicità. E la pubblicità, per essere redditizia, ha bisogno di un audience definita. Ecco perché la stessa persona, se impedisce il tracciamento, verrà comunque sommersa di annunci – ma generici.
Dal punto di vista dell’ecosistema, la pubblicità online personalizzata permette a molte realtà “di nicchia” di esistere senza dover imporre paywall ai propri lettori. Tuttavia, ci si può chiedere se un modello più “etico” sarebbe possibile: in Europa, alcune correnti di pensiero spingono per rendere i paywall più diffusi e ridurre la dipendenza dalla pubblicità. Altri sostengono la necessità di un federalismo digitale, in cui ognuno paga un piccolo contributo in cambio di servizi senza banner e senza tracciamenti. In ogni caso, l’attuale scenario è dominato da un mercato pubblicitario basato sul profiling, e i cookie ne sono la tecnologia cardine.

7. Cosa succede (davvero) quando clicchiamo “Accetta i cookie”?
Torniamo alla domanda cruciale. Se entro in un e-commerce di canne da pesca, e clicco su “Accetta i cookie”, sto consentendo al sito (e spesso a terze parti collegate) di memorizzare un piccolo file con:

• Un ID univoco, che permette di riconoscermi nelle successive visite.
Preferenze e azioni: quali prodotti ho guardato, tempi di permanenza, carrelli aggiunti, ordini fatti, etc.
Altre info, come la lingua preferita o l’area geografica, se il sito ne traccia l’origine IP.
• Eventuali “consensi” su newsletter, marketing e così via.

Nel momento in cui navigo su un altro sito che usa lo stesso network pubblicitario (mettiamo Google Ads), la terza parte legge quell’ID e capisce: “Questo utente ha cercato canne da pesca di fascia premium, quindi potremmo proporgli il brand XY di canna da pesca costosa.” E mi appare il banner personalizzato.
Se rifiuto i cookie, molti di questi passaggi non avvengono (almeno ufficialmente), e gli annunci che mi compariranno saranno meno in target. Avrò un carrello sul sito e-commerce che funzionerà con un cookie tecnico (necessario), ma non riceverò i cookie di profilazione. Bisogna però notare che la differenza la fa il tipo di cookie: quelli “tecnici” non necessitano di consenso, mentre quelli di “profilazione” e “terze parti” sì. Alcuni siti, con la formula cookie wall, dicono: “Se non accetti i cookie di profilazione, non puoi usare il sito.” Questo modus operandi è considerato scorretto e potenzialmente illegale. L’Autorità Garante per la Privacy in Italia ha più volte multato siti che adottano tali practice.

8. Cookie e sicurezza: rischi e accorgimenti
Alcune persone temono che i cookie possano “infettare” il pc con malware o virus. In realtà, i cookie sono semplici file di testo, incapaci di eseguire codice. Non possono di per sé installare un virus. I veri rischi, semmai, riguardano la privacy: se un malintenzionato ottiene l’accesso ai tuoi cookie, può rubare le tue sessioni di login, impersonarti su siti e compiere azioni al tuo posto. Ecco perché i browser moderni limitano la portata dei cookie e alcuni siti implementano token di sessione con scadenze ridotte e meccanismi di controllo IP.
Inoltre, esistono strumenti come la navigazione in incognito (Chrome, Firefox, Edge) o la navigazione privata (Safari) che cancellano i cookie alla chiusura della finestra. Così, nessun dato persiste tra una sessione e l’altra. Questo può essere utile se non vogliamo lasciare tracce su un pc condiviso, ma non elimina la possibilità di fingerprinting. Se ci si preoccupa molto della privacy, si può usare un browser più radicale come Tor, che isola totalmente i siti e impedisce l’uso di cookie cross-site. Ma la controparte è l’eventuale rottura di servizi base e un peggioramento della user experience.
Quanto ai banner e al modo di scegliere, conviene prendersi qualche secondo per leggere le opzioni. Molti siti, infatti, offrono un tasto “Personalizza” che permette di disabilitare i cookie di profilazione e lasciare attivi solo i cookie tecnici. Questo non impedirà la pubblicità, ma perlomeno ridurrà la raccolta di dati personali e l’invio di annunci mirati.

9. Il futuro dei cookie: tra limitazioni e nuove tecnologie
Interessante notare che, negli ultimi anni, Google e altri attori hanno annunciato piani per abbandonare i cookie di terze parti e introdurre nuovi meccanismi di tracciamento come FLoC (Federated Learning of Cohorts) o Topics API. Si tratta di sistemi che spostano parte della profilazione dal server al browser, raggruppando gli utenti in “coorti” con interessi simili. L’idea sarebbe quella di migliorare la privacy, evitando di tracciare singoli individui e puntando a cluster di migliaia di persone con gusti affini. Tuttavia, molti esperti e associazioni per i diritti digitali restano scettici, temendo si tratti solo di un cambio di facciata che lascia inalterata la potenza di profilazione e targeting.
In parallelo, i regolatori europei stanno rafforzando le linee guida per i consensi granulari, e alcuni browser come Safari e Firefox già bloccano per default i cookie di terze parti. Chrome, il browser più usato al mondo, ha rinviato più volte la rimozione dei cookie di terze parti, inizialmente prevista per il 2022, poi spostata al 2024 e oltre. Il motivo è chiaro: l’ecosistema pubblicitario ruota attorno a questi tracciamenti, e eliminarli di colpo rischia di generare scossoni notevoli al mercato.
C’è chi ipotizza che, nel prossimo decennio, si passerà a modelli di identificatori unici (ID univoci a livello di browser), o a sistemi server-to-server. Oppure, alcuni immaginano che le regolamentazioni antitrust possano impedire ai grandi colossi di gestire da soli i protocolli di tracciamento. La partita è complessa e riflette, più in generale, il conflitto fra privacy e innovazione, fra gratuità dei servizi e sovranità digitale.

10. L’aspetto “etico”: i cookie come compromesso
Guardando a 360°, i cookie hanno generato un contratto implicito con l’utente: tu, navigando gratuitamente su siti e piattaforme, consenti a determinati attori di raccogliere dati sul tuo comportamento, e in cambio ricevi servizi (dalla posta elettronica ai social, dai video in streaming alle mappe geografiche) senza sborsare soldi. Questo scambio, non formalizzato in modo trasparente, è stato in parte “corretto” dalle normative che impongono almeno la chiamata in causa dell’utente con il banner del consenso.
Il problema è che, con centinaia di siti visitati ogni mese, la comparsa di tutti questi avvisi si tramuta in un fastidio costante. Molti cliccano su “Accetta” per sbarazzarsene, pochi dedicano tempo a settare le preferenze con attenzione. L’esito è che, sebbene in teoria esista un controllo, in pratica la maggior parte delle persone non compie un’opzione informata, e i “dark pattern” peggiorano la situazione. In parallelo, i siti spingono per ottenere i cookie di profilazione perché conviene ai propri piani di monetizzazione.
Alcuni esperti sostengono che la soluzione migliore sarebbe un meccanismo di consenso centralizzato a livello di browser, dove l’utente imposterebbe una volta sola le proprie preferenze (es. “accetto i cookie di profilazione” o “li rifiuto sempre”), e i siti dovrebbero leggerle automaticamente. Il GDPR e la direttiva ePrivacy si erano mossi in quella direzione, ma c’è stata una forte opposizione da parte dell’industria pubblicitaria, che non vuole un blocco “globale”.

11. Consigli pratici per gli utenti
“D’accordo, ma nella vita di tutti i giorni, cosa devo fare?” Ecco alcuni suggerimenti:

1.Leggi i banner e non cliccare “Accetta” di fretta. A volte, basta un secondo in più per rifiutare i cookie superflui.
2.Personalizza le opzioni quando possibile: se ti interessa solo la comodità, puoi mantenere i cookie tecnici. Se non vuoi tracciamenti, disabilita quelli di profilazione e terze parti.
3.Pulisci i cookie di tanto in tanto: nella sezione Impostazioni > Privacy del browser, c’è l’opzione per cancellare i cookie. Così riparti “pulito”.
4.Naviga in incognito se stai usando un pc condiviso o non vuoi lasciare tracce locali. Ricorda però che l’incognito non blocca necessariamente i tracciamenti online (a meno di bloccare i cookie).
5.Monitora le estensioni del browser: ci sono plugin come uBlock Origin, 6.Privacy Badger, Ghostery, che possono bloccare cookie di terze parti e script di tracciamento.
7.Sii consapevole che l’assenza di cookie non equivale a zero pubblicità: riduci la targettizzazione, ma le inserzioni generiche restano.
12. Alternative ai cookie: c’è vita oltre i banner? Alcuni siti stanno sperimentando modelli “cookieless”, ossia meccanismi che non appoggiano le informazioni sul browser, ma sfruttano i server side tracking. Ad esempio, usano un ID univoco associato all’account dell’utente (se registrato) e tracciano i comportamenti su quell’account. Oppure ricorrono al fingerprinting, che, come già detto, è problematico sul piano privacy.
Un’altra strada è la subscription model: i siti si reggono su abbonamenti (mensili/annuali) e non hanno bisogno di vendere annunci personalizzati. Questo riduce la necessità di cookie invasivi, ma sposta il costo sull’utente, col rischio di escludere chi non vuole o non può pagare.
C’è anche un dibattito su modelli di micropagamenti, in cui un utente potrebbe pagare pochi centesimi per leggere un articolo, e il sito non avrebbe bisogno di mostrare pubblicità. Tuttavia, tali sistemi non si sono diffusi su larga scala e rimangono sperimentazioni di nicchia.

13. Conclusioni e riflessioni finali
La storia dei cookie è la storia di come la comodità e la personalizzazione possano sposarsi con il business e il profiling, generando un intreccio di vantaggi e di rischi. Da un lato, la pubblicità personalizzata ci consente di godere di infiniti contenuti e servizi “gratuiti”, reggendo l’economia di molti editori, app, siti d’informazione. Dall’altro lato, comporta la condivisione di dati e abitudini, con inevitabili conseguenze sulla privacy e sul libero arbitrio dell’utente.
La comparsa di normative come il GDPR e i banner di consenso è un tentativo di equilibrare diritti e interessi. Ma la pratica quotidiana evidenzia limiti e zone grigie, con siti che spingono l’utente a cliccare su “Accetta” oppure strutturano percorsi di rifiuto lunghi e complicati. C’è poi la questione dell’evoluzione tecnologica, con nuovi sistemi che promettono di mandare in pensione i cookie ma che potrebbero non ridurre affatto il potere di profilazione dei big del web.
Se c’è una morale, è la necessità di consapevolezza: ogni volta che clicchiamo su un banner, stiamo partecipando a un gigantesco mercato. Se non ci sta bene, possiamo rifiutare i cookie o configurare i browser per bloccarli, sapendo però che molti siti vivono (e sopravvivono) grazie agli introiti pubblicitari. Oppure possiamo concedere i cookie, ammettendo di preferire un web ricco di servizi “gratuiti” e un advertising mirato. L’importante è che la nostra scelta sia informata. In un contesto di continue trasformazioni e di normative sempre più stringenti, i cookie restano l’emblema di un patto tacito tra noi e il mondo online: i nostri dati in cambio di servizi, i nostri click in cambio di una rete che, almeno in parte, si regge sulla raccolta e sul trattamento delle informazioni personali.