14 aprile 2026 · Dott. Pietro Cravero

Cookie Banner a Norma GDPR: Guida Tecnica Aggiornata al 2026

Il cookie banner è il punto più verificato dal Garante e il più frequentemente non conforme. Un banner cosmetico, con pulsante "rifiuta" nascosto o con tag che partono prima del consenso, è una violazione che il Garante sanziona con regolarità. In questa guida ti spiego cosa deve fare un cookie banner a norma nel 2026, quali sono gli errori più comuni e come implementarne uno corretto.

Il quadro normativo aggiornato

Le regole in materia di cookie derivano da più fonti: la Direttiva ePrivacy (2002/58/CE come modificata), il Codice Privacy italiano (artt. 121-bis e seguenti), il GDPR per quanto riguarda la base giuridica del consenso, e le Linee guida del Garante del 10 giugno 2021 che hanno chiarito molti aspetti pratici.

Il principio di fondo è semplice: tutti i cookie e le tecnologie di tracciamento che non sono "strettamente necessari" alla fornitura del servizio richiedono il consenso preventivo dell'utente. Consenso preventivo significa: prima che il tracciamento inizi, non dopo.

I cookie che NON richiedono consenso

Solo i cookie strettamente tecnici sono esenti dal consenso. Si tratta di cookie necessari al funzionamento del servizio richiesto dall'utente:

• Cookie di sessione (mantengono l'utente loggato durante la navigazione)
• Cookie del carrello e-commerce
• Cookie di bilanciamento del carico
• Cookie di preferenza linguistica
• Cookie del cookie banner stesso (per ricordare la scelta dell'utente)
• Cookie di analytics solo se rigorosamente anonimi e con finalità puramente statistiche aggregate (caso raro nella pratica)

I cookie che RICHIEDONO consenso

• Google Analytics, Hotjar, Clarity e tutti gli strumenti di analytics con identificatori utente
• Facebook Pixel, Google Ads, LinkedIn Insight Tag e tutti i pixel di marketing/retargeting
• YouTube, Vimeo, Google Maps, widget social: ogni embed di terze parti deposita cookie
• Chat live (Intercom, Zendesk, Tawk.to), popup marketing
• A/B testing tools
• Strumenti di personalizzazione dei contenuti
• Tag CDN di terze parti che profilano

I requisiti obbligatori del cookie banner

1. Consenso preventivo

I cookie non tecnici non devono partire prima che l'utente abbia dato il consenso. Questo significa che gli script corrispondenti vanno caricati dinamicamente solo dopo il consenso, oppure mantenuti bloccati con tecniche di "tag blocking". Implementare il banner senza bloccare i tag è l'errore più comune e più sanzionato.

2. Pulsante "Rifiuta" con pari evidenza

Il pulsante per rifiutare deve essere altrettanto visibile e raggiungibile del pulsante per accettare. Non può essere nascosto, non può richiedere click aggiuntivi. Le Linee guida del Garante del 2021 sono esplicite: la scelta di rifiutare deve essere semplice quanto quella di accettare.

3. Nessun "cookie wall"

Non si può condizionare l'accesso al sito all'accettazione dei cookie di profilazione. Un banner che oscura il sito e lascia come unica opzione "Accetta" per procedere è illegittimo.

4. Scrolling e navigazione continuata non valgono come consenso

Il consenso deve essere un'azione positiva dell'utente (clic sul pulsante). Lo scroll della pagina, la chiusura del banner con la X, la navigazione continuata NON valgono come consenso. Banner che dichiarano "continuando a navigare accetti i cookie" sono non conformi.

5. Granularità delle categorie

Se il sito utilizza cookie di diverse categorie (es. analytics, marketing, preferenze), l'utente deve poter scegliere separatamente quali accettare. Non è obbligatorio un pulsante per ogni singolo cookie, ma la scelta per categoria sì.

6. Informativa cookie completa

Oltre al banner, serve una cookie policy dettagliata accessibile dal banner stesso, con elenco di tutti i cookie, finalità, durate, fornitori terzi e link alle loro privacy policy.

7. Revocabilità del consenso

L'utente deve poter revocare o modificare il consenso in qualsiasi momento, con la stessa facilità con cui l'ha dato. Serve un link "Gestisci cookie" sempre accessibile (tipicamente nel footer).

8. Durata del consenso massimo 6 mesi

Il Garante raccomanda di non ri-proporre il banner per almeno 6 mesi dopo il consenso. Dopo 6 mesi, il banner deve essere riproposto per rinnovare la scelta dell'utente.

Gli errori più comuni (e più sanzionati)

• Banner cosmetico: il banner c'è ma Google Analytics, Facebook Pixel e altri tag partono comunque prima del consenso. Errore gravissimo, sanzionato regolarmente.
• Pulsante "Rifiuta" nascosto: "Accetta" è evidenziato e visibile, "Rifiuta" è in piccolo, in fondo, richiede aprire un menu o sembra meno appetibile. Non conforme.
• "Continuando a navigare accetti": frase da rimuovere subito, il Garante l'ha espressamente vietata.
• Preferenze preselezionate: le categorie di cookie con il flag già attivo. Il consenso deve essere un'azione positiva, non un opt-out.
• Dark pattern: "Accetta" in verde brillante, "Rifiuta" in grigio smorzato. Il Garante considera questi design come manipolativi.
• Cookie policy assente o non linkata dal banner: l'utente deve poter leggere i dettagli prima di scegliere.
• Mancanza di revoca: una volta dato il consenso, l'utente non trova più il modo per cambiare idea.

Come implementare un cookie banner corretto

Ci sono due strade: usare una piattaforma dedicata (Consent Management Platform, CMP) oppure implementare un banner custom. Entrambe richiedono configurazione attenta.

Piattaforme CMP consigliate

• Iubenda: soluzione italiana, compliance documentata, integrabile con la maggior parte dei CMS
• Cookiebot: danese, molto diffusa, scan automatico dei cookie presenti sul sito
• OneTrust: soluzione enterprise, sofisticata, più complessa
• Complianz: plugin WordPress valido per siti di piccole dimensioni

Configurazione corretta

Quale che sia la soluzione scelta, la configurazione deve garantire:

• Blocco preventivo di tutti gli script non tecnici fino al consenso
• Pulsanti "Accetta" e "Rifiuta" con pari evidenza
• Possibilità di gestire le preferenze per categoria
• Link alla cookie policy completa dal banner
• Link "Gestisci cookie" sempre accessibile (footer)
• Durata del consenso non superiore a 6 mesi
• Log dei consensi per dimostrare la prova del consenso

Verifica se il tuo cookie banner è a norma

Fai questi controlli rapidi sul tuo sito:

• Apri il sito in una finestra di navigazione privata
• Apri gli strumenti sviluppatore (F12) e vai nella scheda "Network"
• Ricarica la pagina e, PRIMA di cliccare qualsiasi pulsante nel banner, osserva le richieste
• Vedi richieste verso google-analytics.com, facebook.com, google-ads, hotjar, clarity, o altri servizi di tracking? Se sì, il tuo banner non blocca preventivamente. Non conforme.

Conseguenze del mancato adeguamento

Le sanzioni per cookie banner non conformi rientrano nella fascia fino a 10 milioni di euro o il 2% del fatturato (art. 83, comma 4). Nella pratica, le sanzioni comminate dal Garante italiano su PMI variano da poche migliaia a decine di migliaia di euro, con prescrizione di adeguamento entro termini stringenti.

Oltre alle sanzioni, c'è il rischio di reclami degli utenti: ogni persona che visita il sito può segnalare al Garante una violazione sui cookie. Più il sito è trafficato, più il rischio è alto.