Ogni volta che visiti un sito web, qualcosa viene depositato nel tuo browser. Non è un virus, non è un file scaricato — è un cookie. Eppure, nonostante i banner di consenso siano ormai ovunque, la maggior parte degli utenti non sa davvero cosa sia un cookie, come funzioni, o perché la legge richieda il loro consenso esplicito.

Questa guida risponde a tutte queste domande in modo chiaro, tecnico quanto basta, e senza inutili tecnicismi.

Definizione: Cosa Sono i Cookie?

Un cookie è un piccolo file di testo che un sito web salva nel browser dell’utente nel momento in cui questo visita la pagina. Il file contiene informazioni che il sito può recuperare nelle visite successive per riconoscere l’utente, ricordarne le preferenze o tracciarne il comportamento.

Il termine “cookie” fu coniato negli anni Novanta dal programmatore Lou Montulli, ispirato dalla tradizione dei “magic cookies” — pacchetti di dati scambiati tra programmi in informatica. Da allora, i cookie sono diventati uno degli strumenti fondamentali dell’infrastruttura del web moderno.

In termini tecnici, un cookie è una coppia chiave-valore (ad esempio utente_id=38472) accompagnata da metadati come la data di scadenza, il dominio di appartenenza, e le istruzioni di sicurezza.

Come Funzionano i Cookie: Il Meccanismo Base

Il funzionamento dei cookie segue un ciclo preciso:

1. L’utente visita un sito web per la prima volta.
2. Il server del sito invia al browser una risposta HTTP che include un’intestazione Set-Cookie.
3. Il browser salva il cookie localmente sul dispositivo dell’utente.
4. A ogni richiesta successiva verso lo stesso dominio, il browser include automaticamente il cookie nell’intestazione HTTP.
5. Il server legge il cookie e riconosce l’utente o recupera le informazioni salvate.

Questo meccanismo è ciò che consente, ad esempio, di rimanere connessi a un sito dopo aver chiuso e riaperto il browser, o di trovare il carrello della spesa ancora pieno dopo aver interrotto un acquisto.

Tipi di Cookie: Non Tutti Sono Uguali

La distinzione tra le diverse tipologie di cookie è fondamentale sia per capirne l’impatto sulla privacy sia per applicare correttamente la normativa vigente.

Cookie Tecnici (o Strettamente Necessari)

Sono i cookie indispensabili al funzionamento del sito. Senza di essi, l’utente non potrebbe navigare correttamente, autenticarsi, o completare un acquisto. Rientrano in questa categoria i cookie di sessione, i cookie di autenticazione, e quelli per il bilanciamento del carico dei server. Secondo la normativa italiana ed europea, questi cookie non richiedono il consenso dell’utente.

Cookie Analitici

Raccolgono dati aggregati e anonimi sul comportamento degli utenti — quali pagine vengono visitate, quanto tempo si trascorre su di esse, da quale dispositivo si accede. Strumenti come Google Analytics li utilizzano per fornire statistiche ai gestori dei siti. Se i dati sono effettivamente anonimi e non condivisi con terze parti per fini commerciali, possono essere assimilati ai cookie tecnici. In caso contrario, richiedono consenso.

Cookie di Profilazione

Sono i cookie più invasivi. Vengono utilizzati per costruire profili dettagliati degli utenti, tracciarne gli interessi, e mostrare pubblicità personalizzata. Questi cookie richiedono sempre il consenso esplicito e informato dell’utente prima di essere attivati. Il banner che compare quasi su ogni sito web esiste proprio per adempiere a questo obbligo.

Cookie di Terze Parti

A differenza dei cookie proprietari, che appartengono al dominio visitato, i cookie di terze parti vengono impostati da domini diversi — tipicamente piattaforme pubblicitarie, social network, o servizi di analisi integrati nella pagina. Un sito di notizie che incorpora un pulsante “Condividi” di Facebook, ad esempio, consente a Facebook di depositare un proprio cookie nel browser del visitatore, anche se quest’ultimo non ha mai cliccato nulla. Molti browser moderni — tra cui Safari e Firefox — bloccano già di default i cookie di terze parti. Google Chrome ha più volte annunciato la dismissione del supporto ai cookie di terze parti, in quello che viene chiamato il “cookieless future.”

Cookie di Sessione vs. Cookie Persistenti

I cookie di sessione vengono eliminati automaticamente alla chiusura del browser. I cookie persistenti, invece, rimangono sul dispositivo fino alla loro data di scadenza o finché l’utente non li elimina manualmente. Un cookie persistente può sopravvivere per settimane, mesi o addirittura anni.

Cookie e Privacy: Cosa Dice la Legge

In Italia e nell’Unione Europea, l’uso dei cookie è regolato da un quadro normativo ben definito che combina più strumenti legislativi.

Il Regolamento GDPR (Reg. UE 2016/679) stabilisce i principi generali sul trattamento dei dati personali. I cookie che raccolgono dati personali o che consentono di identificare un utente rientrano nel campo di applicazione del GDPR. Ciò significa che il gestore del sito deve avere una base giuridica per il trattamento — e per i cookie di profilazione, quella base è il consenso.

La Direttiva ePrivacy (2002/58/CE), recepita in Italia con il Codice del Consumo e il Codice della Privacy (D.Lgs. 196/2003), introduce obblighi specifici sui cookie, richiedendo che gli utenti siano informati in modo chiaro e possano esprimere o rifiutare il consenso prima che i cookie non tecnici vengano attivati.

Il Garante per la Protezione dei Dati Personali italiano ha pubblicato linee guida aggiornate nel 2021 che impongono requisiti precisi per i banner di consenso: devono essere immediatamente visibili, non possono utilizzare design ingannevoli (“dark pattern”), e il rifiuto deve essere accessibile con la stessa facilità dell’accettazione. Le sanzioni per inadempienza possono raggiungere il 4% del fatturato annuo globale.

Come Gestire i Cookie sul Proprio Browser

Ogni browser principale offre strumenti per visualizzare, bloccare e cancellare i cookie:

Google Chrome: Impostazioni → Privacy e sicurezza → Cookie e altri dati dei siti

Mozilla Firefox: Impostazioni → Privacy e sicurezza → Cookie e dati dei siti web

Safari: Preferenze → Privacy → Gestisci dati siti web

Microsoft Edge: Impostazioni → Cookie e autorizzazioni siti → Cookie e dati dei siti

È possibile bloccare tutti i cookie di terze parti, cancellare i cookie esistenti, o impostare eccezioni per singoli siti. Va però tenuto presente che bloccare i cookie tecnici può compromettere il funzionamento di molti siti, rendendo impossibile, ad esempio, effettuare il login o completare un acquisto.

Cookie, Fingerprinting e il Futuro del Tracciamento

Con l’erosione progressiva dei cookie di terze parti, l’industria pubblicitaria sta esplorando tecnologie alternative. Il browser fingerprinting, ad esempio, consente di identificare un utente combinando informazioni tecniche sul dispositivo — risoluzione dello schermo, sistema operativo, font installati, configurazione del browser — senza depositare alcun file. A differenza dei cookie, non può essere cancellato dall’utente.

Altre tecnologie emergenti includono le API Privacy Sandbox di Google, progettate per consentire la pubblicità personalizzata senza esporre i dati individuali degli utenti. Il dibattito normativo su queste alternative è aperto e sarà centrale per la privacy digitale nei prossimi anni.

Cosa Fare Quando Appare il Banner dei Cookie

Quando un banner di consenso compare sullo schermo, l’utente ha tre opzioni principali:

Accetta tutto: Consente al sito di attivare tutti i cookie, inclusi quelli di profilazione e di terze parti. Comodo, ma cede il massimo dei dati.

Rifiuta tutto (o solo i non necessari): Il sito funzionerà con i soli cookie tecnici. Alcuni contenuti potrebbero essere limitati, ma la privacy è più tutelata.

Gestisci le preferenze: Permette di scegliere categoria per categoria quali cookie accettare. Richiede qualche minuto in più, ma offre il controllo più granulare.

La legge garantisce che rifiutare i cookie non tecnici non debba penalizzare l’accesso ai contenuti del sito — anche se in pratica non tutti i gestori rispettano pienamente questo principio.

In Sintesi

I cookie sono strumenti tecnici neutri: possono essere indispensabili per far funzionare un sito o possono essere vettori di tracciamento commerciale pervasivo. La differenza sta nel tipo, nell’utilizzo, e nel consenso dell’utente. Conoscerli significa poter fare scelte più consapevoli ogni volta che si naviga online — e significa anche capire perché quella finestra di consenso, per quanto fastidiosa, esiste per proteggere un diritto fondamentale.

What Are Cookies? A Plain-Language Overview

For readers more comfortable in English, here is a concise summary of the key concepts covered above.

What Is a Cookie?

A cookie is a small text file placed on your device by a website when you visit it. It stores data — such as login status, language preferences, or a unique user ID — that the site can retrieve on your next visit. Cookies are what allow websites to “remember” you across sessions.

The Main Types of Cookies

Strictly necessary cookies keep the site running — enabling logins, shopping carts, and session management. These do not require user consent under EU law.

Analytical cookies track aggregate user behavior (page views, time on site, device type) to help site owners understand their audience. If data is truly anonymized, these may be treated similarly to necessary cookies.

Profiling or targeting cookies build detailed user profiles to serve personalized advertising. These always require explicit consent before activation.

Third-party cookies are set by external domains embedded in a page — ad networks, social media widgets, or analytics platforms. They enable cross-site tracking and are increasingly blocked by modern browsers.

Session cookies disappear when you close your browser. Persistent cookies remain on your device until they expire or you delete them manually.

Cookies and the Law

In the European Union, cookies are governed by two overlapping frameworks: the GDPR (which applies whenever cookies process personal data) and the ePrivacy Directive (which specifically requires informed consent before non-essential cookies are placed). Italy’s data protection authority — the Garante — enforces these rules and issued updated cookie guidance in 2021 requiring clear, non-deceptive consent banners where refusing cookies must be as easy as accepting them.

How to Manage Your Cookies

Every major browser — Chrome, Firefox, Safari, Edge — includes settings to view, block, and delete cookies. Blocking third-party cookies is a privacy-positive step that most modern browsers now support by default. Deleting cookies regularly removes stored tracking identifiers, though it will also log you out of sites that rely on cookies for authentication.

Cookies are not inherently harmful — they are essential tools that make the web functional. The concern arises when they are used to track users across sites without meaningful consent. Understanding the difference between a technical cookie and a profiling cookie is the foundation of informed digital privacy.