Come Eseguire un Audit dei Cookie del Tuo Sito Web

Il Tuo Sito Web Probabilmente Ha Più Cookie di Quanti Pensi

L'audit dei cookie medio rivela il 40-60% in più di cookie rispetto a quanto le organizzazioni si aspettano di trovare. Un sito web tipico utilizza tra 50 e 300 cookie, e circa il 60% di questi sono cookie di terze parti impostati da servizi esterni come Google Analytics, Facebook Pixel o reti pubblicitarie.

Questo è importante perché il 59% dei siti web installa cookie prima ancora che gli utenti vedano il banner di consenso, secondo uno studio di novembre 2025. Solo il 15% dei 10.000 principali siti web in 31 paesi soddisfa i requisiti di base per la conformità ai cookie del GDPR. E le autorità se ne stanno accorgendo: la CNIL francese ha comminato oltre 475 milioni di euro in sanzioni per cookie solo nel 2025.

Un audit dei cookie è il primo passo per capire cosa fa realmente il tuo sito web nel browser, non quello che pensi che faccia.

Cos'è un Audit dei Cookie?

Un audit dei cookie è una revisione sistematica di ogni cookie e tecnologia di tracciamento sul tuo sito web. Identifica quali dati vengono raccolti, chi li raccoglie, se gli utenti hanno dato il consenso e se il tuo banner dei cookie funziona effettivamente come previsto.

Ai sensi dell'Articolo 5(2) del GDPR, devi essere in grado di dimostrare la conformità. Ai sensi dell'Articolo 30, devi mantenere registri delle attività di trattamento. Un audit dei cookie ti fornisce entrambe le cose: prove documentate di ciò che fa il tuo sito e evidenza che hai adottato misure per correggere eventuali problemi.

Passaggio 1: Scansiona il Tuo Sito Prima del Consenso

Il test più critico è anche il più semplice. Apri il tuo sito web in una nuova finestra di navigazione in incognito e controlla cosa si carica prima di toccare il banner dei cookie.

Usando Chrome DevTools:

1. Apri una finestra in incognito (Ctrl+Shift+N o Cmd+Shift+N)
2. Premi F12 per aprire DevTools e vai alla scheda Application
3. Clicca su Cookies sotto Storage nella barra laterale sinistra
4. Ora naviga verso il tuo sito web
5. Prima di cliccare qualsiasi cosa sul banner dei cookie, controlla quali cookie sono stati impostati

Qualsiasi cookie non essenziale che appare prima che tu interagisca con il banner è una violazione dell'Articolo 5(3) della Direttiva ePrivacy, che richiede il consenso prima di memorizzare cookie sul dispositivo dell'utente. Questa stessa violazione è costata a SHEIN 150 milioni di euro nel settembre 2025, quando la CNIL ha scoperto che i cookie pubblicitari venivano depositati nel momento in cui gli utenti visitavano il sito.

Usando la scheda Network:

1. Passa alla scheda Network in DevTools
2. Aggiorna la pagina
3. Clicca su qualsiasi richiesta e apri la scheda Headers
4. Cerca le intestazioni Set-Cookie nelle risposte, queste mostrano i cookie che vengono impostati
5. Filtra per domini di terze parti (qualsiasi dominio che non corrisponde al tuo)

Passaggio 2: Categorizza Ogni Cookie

Una volta ottenuta la lista completa dei cookie, categorizza ciascuno:

I cookie strettamente necessari sono esenti dai requisiti di consenso. Includono ID di sessione, token CSRF, cookie di autenticazione e cookie di bilanciamento del carico. Sono essenziali per il funzionamento del sito web.

I cookie funzionali ricordano le preferenze dell'utente come lingua o impostazioni di visualizzazione. Richiedono il consenso perché il sito può funzionare senza di essi.

I cookie analitici tracciano il comportamento dell'utente e le prestazioni del sito. I cookie di Google Analytics (_ga, _gid, _gat) sono i più comuni. Richiedono sempre il consenso.

I cookie di marketing e pubblicità tracciano gli utenti tra i siti web per creare profili di interesse e mostrare annunci mirati. Includono Google Ads (_gcl_au), Facebook Pixel (_fbp) e DoubleClick (IDE). Comportano il rischio normativo più elevato e richiedono sempre il consenso.

Per ogni cookie, documenta: il nome, il dominio (prima parte o terze parti), il suo scopo, quanto dura e se è dichiarato nella tua politica dei cookie.

Passaggio 3: Testa il Tuo Banner dei Cookie

Un banner dei cookie che sembra conforme non è la stessa cosa di uno che funziona. Le autorità testano il comportamento reale del browser, non il design del banner. Ecco cosa controllare:

Testa il pulsante di rifiuto. Clicca su "Rifiuta tutto" e poi controlla in DevTools se i cookie non essenziali sono ancora presenti. Circa il 60% dei pulsanti "Rifiuta tutto" non blocca effettivamente i cookie. Il caso SHEIN ha dimostrato che le autorità verificano questo aspetto.

Testa la revoca del consenso. Accetta i cookie, poi prova a revocare il consenso tramite le impostazioni dei cookie. Controlla se i cookie smettono di essere letti. Nel caso Orange (50 milioni di euro, novembre 2024), i cookie continuavano a trasmettere dati anche dopo la revoca del consenso.

Cerca i dark pattern. Il pulsante "Accetta" è più grande, più colorato o più evidente di "Rifiuta"? Il rifiuto richiede più clic dell'accettazione? Le categorie di cookie non essenziali sono pre-selezionate? L'autorità svedese per la privacy IMY ha emesso ammonimenti formali a ATG, Aller Media e Warner Music nell'aprile 2025 specificamente per il dimensionamento ingannevole dei pulsanti e i contrasti di colore.

Verifica l'accesso paritario. Secondo la Proposta Digital Omnibus dell'UE (novembre 2025), gli utenti devono poter rifiutare i cookie con un solo clic. Se il tuo banner richiede agli utenti di passare attraverso "Gestisci preferenze" per rifiutare, sei già in ritardo.

Passaggio 4: Controlla la Tua Politica dei Cookie

Confronta ciò che dice la tua politica dei cookie con ciò che il tuo audit ha effettivamente trovato. Le lacune comuni includono:

• Cookie che esistono sul sito ma non sono elencati nella politica
• Descrizioni vaghe come "migliorare la tua esperienza" invece di scopi specifici
• Fornitori di cookie di terze parti non menzionati
• Nomi o durate dei cookie obsoleti
• Nessuna menzione di come revocare il consenso

L'Articolo 13 del GDPR richiede di divulgare i destinatari e le terze parti che trattano dati attraverso i tuoi cookie. L'Articolo 12 richiede che queste informazioni siano concise, trasparenti e facilmente accessibili.

Passaggio 5: Correggi Ciò che Trovi

Dai priorità alle correzioni per livello di rischio:

Correggere immediatamente: Caricamento di cookie prima del consenso, opzioni di rifiuto mancanti o non funzionanti, e meccanismi di consenso che non funzionano. Queste sono le violazioni che provocano le sanzioni più elevate.

Correggere entro una settimana: Dark pattern, pulsanti asimmetrici e categorie di cookie pre-selezionate. Sono sempre più nel mirino delle autorità, soprattutto dopo l'azione della Svezia nell'aprile 2025.

Correggere entro un mese: Cookie non dichiarati nella politica, descrizioni dei cookie mancanti e durate eccessive dei cookie.

In corso: Elimina i cookie senza uno scopo documentato. Sostituisci gli strumenti di analisi di terze parti con alternative rispettose della privacy quando possibile. Minimizza il numero totale di cookie che il tuo sito imposta.

Dopo aver corretto i problemi, aggiorna la tua politica dei cookie per riflettere lo stato attuale del tuo sito web. Per ogni cookie, indica: nome, fornitore, scopo, tipo e durata.

Ogni Quanto Dovresti Fare l'Audit?

Un audit una tantum non è sufficiente. Nuovi cookie possono apparire ogni volta che aggiungi un plugin, aggiorni il tuo CMS, lanci una campagna di marketing o integri uno strumento di terze parti.

Calendario consigliato:

• Scansioni automatizzate settimanali per individuare nuovi cookie appena compaiono
• Revisione manuale completa ogni trimestre
• Audit immediato dopo qualsiasi modifica al sito: nuove funzionalità, nuove integrazioni, aggiornamenti del CMS o lanci di campagne di marketing
• Punti di controllo normativi quando entrano in vigore nuove leggi sulla privacy (gli stati USA aggiungono nuove leggi ogni gennaio e luglio)

L'ICO britannico ha dimostrato l'impatto degli audit costanti nel 2025. Hanno esaminato i 1.000 principali siti web britannici e hanno scoperto che il 67% non era conforme. Dopo un'applicazione sistematica, la conformità è salita al 95% entro dicembre 2025.

L'Alternativa Automatizzata

Gli audit manuali con i DevTools del browser funzionano, ma richiedono tempo e sono facili da sbagliare. Devi controllare ogni pagina, non solo la homepage. Devi testare su diversi dispositivi. E devi ripetere il processo regolarmente.

Gli strumenti automatizzati di scansione dei cookie fanno tutto questo per te. Esplorano l'intero sito, identificano ogni cookie e tracker, li categorizzano, segnalano le violazioni pre-consenso e generano report che puoi utilizzare per dimostrare la conformità ai sensi dell'Articolo 5(2) del GDPR.

Scansiona il tuo sito web gratuitamente per vedere esattamente cosa troverebbe un audit di conformità. Bastano 30 secondi e ti mostra i cookie pre-consenso, i tracker che si caricano prima del consenso e i problemi del banner, le stesse cose che controllerebbe un'autorità.

Il Tempo Stringe

La Proposta Digital Omnibus dell'UE integrerà presto le regole sui cookie direttamente nel GDPR attraverso un nuovo Articolo 88a, rendendo obbligatorio il rifiuto con un solo clic e introducendo un periodo di attesa di sei mesi prima di richiedere nuovamente il consenso. I segnali di consenso a livello di browser previsti dall'Articolo 88b potrebbero eventualmente sostituire completamente i banner dei cookie dei singoli siti.

Questi cambiamenti entreranno presumibilmente in vigore tra metà e fine 2026. Il momento di fare l'audit del tuo sito web è prima che le autorità bussino alla tua porta, non dopo. Inizia con una scansione gratuita dei cookie e scopri a che punto sei oggi.