Per anni si è parlato dell’“era cookieless”: la fine dei cookie di terze parti, nuove tecnologie di tracciamento privacy-friendly e normative che avrebbero ridisegnato il modello dell’advertising online. Ma oggi, nello stato attuale (2025), quanto di quel futuro si è concretizzato? In questo articolo analizziamo le normative europee vigenti, le promesse (e i ritardi) di Google, e quali scenari si stanno delineando.


Normativa europea sui cookie: cosa si applica oggi

  1. L’ePrivacy Directive (direttiva 2002, aggiornata 2009) rimane la norma di riferimento nell’UE per i cookie e altri strumenti di tracciamento elettronico. Essa richiede il consenso preventivo per i cookie non strettamente necessari.
  2. Il GDPR continua ad applicarsi, in particolare per quanto riguarda la protezione dei dati personali e i requisiti relativi al consenso (libero, specifico, informato, inequivocabile).
  3. Nel febbraio 2025, la Commissione Europea ha ritirato la proposta per il Regolamento ePrivacy (ePrivacy Regulation), che avrebbe dovuto sostituire la direttiva, rendere le regole uniformi in tutta l’UE, ampliare il campo di applicazione (messaggistica, IoT, nuovi strumenti) e aggiornare le modalità di consenso.
  4. Anche se il Regolamento ePrivacy è stato ritirato, non significa che la spinta normativa si sia esaurita: le autorità nazionali e l’European Data Protection Board (EDPB) stanno intensificando l’applicazione della normativa esistente, con attenzione al modo in cui avviene il consenso, alla trasparenza e all’interfaccia utente (banner, modalità di rifiuto accettabile, ecc.).


Google, Privacy Sandbox e lo stato delle alternative ai cookie

  1. Google aveva fissato obiettivi ambiziosi per eliminare progressivamente i cookie di terze parti da Chrome, affidandosi alla suite di tecnologie chiamata Privacy Sandbox.
  2. Tuttavia, nel 2025 Google ha annunciato che non introdurrà un prompt dedicato per acconsentire o rifiutare i cookie di terze parti in Chrome. Le preferenze continueranno a essere gestite tramite le impostazioni standard di Privacy & Security del browser, non attraverso una nuova finestra pop-up specifica.
  3. Nonostante questo, Google prosegue lo sviluppo delle API di Privacy Sandbox, le protezioni per la navigazione in incognito, e sta lavorando su nuove funzionalità come la protezione dell’indirizzo IP prevista per il terzo trimestre del 2025.


Quali sono le sfide ancora da affrontare

  1. La dismissione completa dei cookie di terze parti è ritardata e soggetta a controversie normative, tecniche, di mercato.
  2. Le alternative proposte (Topics API, altre API della Privacy Sandbox) sono ancora in fase di sviluppo, test, confronto con regolatori, e non sempre convincono in termini di trasparenza o efficacia. Ad esempio, ci sono studi che mettono in luce come tecnologie “interest-based” come la Topics API possano comunque permettere in alcuni casi la reidentificazione a partire da profili aggregati.
  3. L’assenza di un regolamento che sostituisca l’ePrivacy Directive significa che persistono rilevanti differenze fra Stati membri in termini di applicazione, interpretazione giuridica, enforcement. Ciò comporta incertezza per le imprese con operazioni transnazionali.


Dove siamo e cosa aspettarci

  1. Per ora, il “cookieless” totale non esiste. I cookie di terze parti non sono stati ancora eliminati di default su Chrome, benché alcune funzioni di protezione siano già attive (Incognito, restrizioni, consigli per sviluppatori).
  2. È probabile che nei prossimi mesi/anni si verifichino cambiamenti incrementali: migliori pratiche di consenso, banner più trasparenti, normative locali più restrittive, tecnologie alternative che maturano.
  3. Le aziende che si muovono ora verso una strategia basata su dati di prima parte (first-party), anonimizzazione, tecnologie “privacy-by-design” e trasparenza con gli utenti avranno un vantaggio competitivo.


Consigli pratici per chi deve agire ora

  1. Verificare che i cookie non essenziali non vengano attivati prima del consenso esplicito dell’utente.
  2. Auditare tutti i tracciamenti e gli script di terze parti presenti sul sito.
  3. Monitorare attentamente gli aggiornamenti normativi del proprio paese, dell’EDPB, della Commissione Europea.
  4. Investire in soluzioni che permettano controllo granulare del consenso, facilità di rifiuto, chiarezza nelle informative.
  5. Sperimentare con le API di Privacy Sandbox e seguire i test aperti di Google, per capire se quelle tecnologie saranno compatibili con i propri use case.


In conclusione

Il futuro cookieless promessa non è ancora realtà, ma è un orizzonte che si avvicina con incognite.

Normativa europea e Google hanno fatto passi importanti, ma restano sfide tecniche, legali e pratiche da risolvere. Chiunque lavori nel digitale oggi dovrebbe considerare strategie di transizione, non aspettare che tutto cambi da sé.

Se hai informazioni recenti, documenti, esempi di come aziende stanno già operando in una modalità “cookieless” o stanno sperimentando con le alternative di Google, mi farebbe piacere che le condividessi.


FONTI:

  1. GDPR.eu
  2. VeraSafe
  3. CookieBot
  4. Privacy Sandbox
  5. Secure Privacy