FunzionalitàConfrontoCasi d'usoPrezziSelf-hostedGarante 2025AccediInizia gratis
Aggiornato · maggio 2026

Banner cookie 2025-2026:
cosa chiede il Garante.

Una guida operativa, senza marketing, sui requisiti del Garante Privacy italiano per i cookie banner nel biennio 2025-2026. Sei punti tecnici precisi, esempi di sanzioni reali, e cosa serve in pratica per non finire in un'istruttoria.

Verifica gratis il tuo bannerVai ai 6 requisiti

Le linee guida del Garante del 10 giugno 2021 sono ancora il riferimento

Cominciamo dalla domanda che ci arriva ogni settimana: "Sono cambiate le regole nel 2024-2025?" Risposta breve: no, sostanzialmente no. Il documento di riferimento resta il provvedimento del Garante per la protezione dei dati personali del 10 giugno 2021, "Linee guida cookie e altri strumenti di tracciamento". Quel testo ha definito gli standard che sono ancora applicabili oggi.

Quello che è cambiato è il contesto applicativo:

  • Dal 6 marzo 2024 è obbligatorio Google Consent Mode v2 per chi usa Google Ads/GA4 nello SEE.
  • Il Cookie Banner Taskforce Report dell'EDPB (gennaio 2023) ha allineato le interpretazioni delle 27 autorità privacy europee, e il Garante ne ha recepito i criteri.
  • Il Garante ha emesso ulteriori provvedimenti sanzionatori che chiariscono in pratica come vanno interpretate le linee guida — di fatto sono "jurisprudence" che si accumula.
  • La sentenza della CJEU C-621/22 (luglio 2024) ha ridefinito il perimetro dell'interesse legittimo per finalità di marketing, restringendolo.

In sintesi: il quadro normativo è stabile, ma la "pressione applicativa" è salita. Più ispezioni, più sanzioni, più attenzione alle modalità tecniche reali (non solo al testo del banner).

I 6 requisiti minimi

Cosa deve fare un banner per essere a norma.

Sei punti tecnici, non sei suggerimenti grafici. Mancare anche uno solo espone a contestazione.

1. Equal prominence accept/reject

I pulsanti Accetta tutto e Rifiuta tuttodevono essere visivamente equivalenti: stessa dimensione, stesso peso visivo, stesso livello gerarchico. Vietato fare "Accetta" in colore brand vivace e "Rifiuta" come testo grigio sottile. Il Garante e l'EDPB Taskforce Report lo qualificano come dark pattern.

2. No scroll-to-consent

Lo scroll della pagina non equivale a consenso. Il provvedimento del Garante del 10 giugno 2021 lo dice esplicitamente: un'azione "passiva" come scrollare, muovere il mouse o continuare la navigazione non costituisce manifestazione di volontà valida. Il consenso deve essere un atto positivo univoco (GDPR art. 4(11)).

3. No cookie wall di default

Il cookie wall ("accetta o non puoi accedere al sito") è di norma vietato. È accettabile solo se esiste un'alternativa equivalente che permette all'utente di accedere al contenuto senza prestare consenso al marketing — tipicamente un paywall a pagamento. L'EDPB l'ha chiarito nelle Guidelines 03/2022 sui deceptive design patterns.

4. Prior blocking effettivo

Cookies, script e iframe di terze parti per finalità non strettamente necessarie devono essere bloccati prima del consenso. La sentenza CJEU C-673/17 Planet49 lo ha sancito a livello europeo. Il Garante è esplicito: il banner che "sostituisce type=text/plain" ma lascia partire la prima chiamata di rete non è considerato conforme.

5. Audit log opponibile

GDPR art. 7(1) richiede che il titolare possa dimostrareil consenso. Art. 5(2) impone il principio di accountability. EDPB 05/2020 §105-109 chiarisce che la prova deve essere conservata e prodotta in caso di contestazione. Non basta un CSV con "email + data": serve un registro con timestamp, IP, user agent, hash del banner, versione del documento informativo.

6. Revoca facile come il consenso

GDPR art. 7(3): la revoca del consenso deve essere altrettanto facilequanto prestarlo. Se per accettare basta un click sul banner, per revocare deve bastare un click su un widget sempre accessibile (icona fluttuante, link nel footer, voce nella cookie policy). Non è accettabile far "passare" da una pagina di contatto generica.

Le sanzioni recenti: cosa è successo davvero

Le linee guida del Garante non sono carta straccia: vengono applicate, con sanzioni economiche significative. Senza riportare cifre puntuali che potrebbero essere imprecise, queste sono le tipologie di provvedimentoche il Garante ha emesso negli ultimi anni e che chiariscono l'orientamento applicativo:

  • Compagnie telco: sanzioni rilevanti per modalità di acquisizione consenso ritenute non conformi (consenso da operatore di call center, pre-spunte, marketing senza base giuridica adeguata). Le decisioni hanno chiarito che il consenso deve essere documentabile e specifico per finalità.
  • Utility e fornitori di servizi essenziali: provvedimenti su trattamenti per finalità di profilazione e marketing senza adeguata informativa e senza prior blocking effettivo, con effetti anche sulle pratiche di teleselling collegate.
  • Editori online e portali di news: contestazioni su scroll-to-consent, su cookie wall presentati come unica alternativa al pagamento, e su mancata implementazione di pulsanti accetta/rifiuta equivalenti.
  • Piattaforme di e-commerce: rilievi su tag GA4/Meta Pixel attivati prima del consenso, sulla mancanza di un audit log opponibile, e sulla difficoltà di revocare il consenso una volta prestato.
  • Multinazionali del web: il pacchetto di sanzioni delle autorità privacy europee (CNIL francese, DPC irlandese, Garante italiano) verso big tech ha chiarito che le interpretazioni delle linee guida si applicano anche ai grandi player, non solo alle PMI.

La lezione operativa: il Garante non punta solo alle aziende grandi e visibili. Le sanzioni alle PMI esistono, sono spesso conseguenza di reclami singoli di utenti, e l'importo (anche se inferiore in valore assoluto) può essere drammatico in rapporto al fatturato.

Per cifre puntuali e nomi delle società sanzionate, l'archivio dei provvedimenti del Garante è pubblicamente consultabile su garanteprivacy.it. Consigliamo di non fare affidamento su cifre "circolate" in articoli secondari: il dato ufficiale è solo quello del provvedimento integrale.

Come Tuelia ti mette a norma in 3 step

I sei requisiti del Garante non sono una checklist astratta. Per ciascuno, Tuelia ha una funzionalità ingegnerizzata che lo soddisfa di default. Ecco come si traduce nella pratica.

  1. Crei un account su app.tuelia.com e configuri il banner in 60 secondi.Il template di default è già impostato con equal prominence accept/reject, no scroll-to-consent, no cookie wall, link di revoca sempre accessibile. Non puoi fisicamente creare un banner non conforme: l'UI ti impedisce di sbilanciare i pulsanti, di nascondere il rifiuta, di mettere pre-spunte.
  2. Incolli una riga di codice nell'HTML del tuo sito.Da quel momento il prior blocking è attivo: GA4, Meta Pixel, HubSpot, Hotjar, GTM e qualsiasi altro tracker non parte finché l'utente non clicca. Verifica in DevTools (network tab) che non ci siano chiamate a domini di terze parti prima del consenso. Se ne vedi, scrivici, è un bug.
  3. Il sistema raccoglie l'audit log automaticamente.Ogni consenso è firmato HMAC con chain hash. Quando ti serve dimostrazione opponibile (per ispezione Garante, per due diligence, per reclamo di utente), esporti il pacchetto PDF/CSV/JSON in 3 click. Ogni record contiene timestamp, IP anonimizzato, user agent, hash della versione esatta del banner mostrato all'utente.

Niente di tutto questo è in beta o "coming soon". È quello che gira oggi in produzione, anche nel piano gratuito.

Verifica gratuita

Il tuo banner è a norma del Garante?

Tre modi per scoprirlo, dal più rapido al più approfondito.

Verifica self-service (gratis)

Apri il tuo sito in incognito, ispeziona il network tab di Chrome DevTools prima di cliccare. Se vedi richieste verso google-analytics.com, facebook.com, hotjar.com, hubspot.com prima del consenso, hai un problema di prior blocking. Bastano 60 secondi.

Audit con Tuelia (gratis)

Crea un account Tuelia, aggiungi il tuo dominio, lancia uno scan. In 5 minuti hai un report sui cookie trovati, su quali partono prima del consenso, sulla copertura della cookie policy attuale, e sul livello stimato di conformità.

Consulenza legale (Agency)

Sul piano Agency è inclusa una consulenza compliance trimestrale con un legale specializzato in privacy: rilegge il tuo banner, la cookie policy, l'informativa, e ti dà la lista delle azioni concrete da fare. Niente template, intervento reale.

Inizia la verifica gratuita
FAQ Garante

Domande frequenti su Garante e cookie banner.

Devo cambiare banner se il mio sito è solo informativo, senza tracciamento?
Se il sito usa esclusivamente cookie tecnici strettamente necessari (sessione, preferenze lingua, carrello e-commerce) e nessuncookie di terze parti per analytics, marketing o profilazione, allora non serve banner di consenso: basta una cookie policy informativa raggiungibile dal footer (e l'informativa privacy completa). Tuttavia, attenzione: anche un singolo embed YouTube, una Google Map, un font caricato da Google Fonts comporta cookie di terze parti e quindi richiede il banner con consenso.
Il banner di Cookiebot o Iubenda è a norma del Garante?
Dipende dalla configurazione. Cookiebot e Iubenda forniscono entrambi template configurabili che possonoessere configurati a norma, ma non lo sono di default in tutte le impostazioni. I problemi più frequenti che vediamo: pulsanti accept/reject sbilanciati per impostazione del template, prior blocking implementato con type=text/plain rewriter (che non blocca a livello di rete), audit log esportato in CSV ma senza firma HMAC. La conformità non dipende dal vendor scelto ma dalla configurazione: andate sempre nel pannello a verificare di persona ogni voce, non fidatevi del "è già GDPR compliant" del marketing.
Cookie wall è proprio vietato?
Non è vietato in assoluto, ma è vietato come unica modalità di accesso al sito. EDPB Guidelines 03/2022 sui deceptive design (rev. 02 del marzo 2023) chiariscono: un cookie wall è accettabile solo seesiste un'alternativa equivalente e accessibile che permette all'utente di fruire del contenuto senza prestare consenso al marketing — tipicamente un paywall a pagamento (modello "consent or pay"). La sola alternativa "rifiuta e non vedi il sito" non è equivalente, perché viene meno il requisito di libertà del consenso (GDPR art. 4(11) + 7(4)).
Il Garante ispeziona davvero i siti delle PMI?
Sì. Il Garante non svolge solo controlli a campione su grandi gruppi: l'attività ispettiva è spesso innescata da reclami individualidi utenti. Un singolo utente che si lamenta del banner del tuo sito può aprire un'istruttoria che ti coinvolge direttamente. Le PMI sono ispezionate, le sanzioni sono pubbliche (su garanteprivacy.it), e l'importo viene calibrato sul fatturato — ma in proporzione può essere altrettanto pesante. La prevenzione tecnica costa molto meno della reazione.
Cosa è cambiato nel 2024-2025?
Sostanzialmente nulla a livello di linee guida del Garante (il provvedimento del 10 giugno 2021 resta il riferimento). Quello che è cambiato: (1) Google Consent Mode v2 obbligatorio dal 6 marzo 2024 per chi usa Google Ads/GA4 nello SEE; (2) EDPB Cookie Banner Taskforce Report (gen 2023) ha allineato le interpretazioni delle 27 autorità europee; (3) sentenza CJEU C-621/22 (luglio 2024) ha ristretto il perimetro dell'interesse legittimo per marketing; (4) la pressione applicativa con sanzioni è aumentata. Il quadro normativo è stabile, l'applicazione no.
Posso usare Google Analytics 4 con Tuelia in modo conforme?
Sì, ma serve attenzione. Il Garante con il provvedimento del 9 giugno 2022 (caso Caffeina) aveva di fatto bloccato Google Analytics Universal a causa dei trasferimenti dati verso USA. GA4 con Google Consent Mode v2 e IP anonymization è considerato compatibile a condizione che: (a) il prior blocking sia effettivo (GA4 non parte prima del consenso); (b) il Consent Mode v2 sia configurato correttamente con default a denied per ad_storage/analytics_storage; (c) la cookie policy menzioni esplicitamente il trasferimento extra-UE basato su SCC e Data Privacy Framework. Tuelia configura tutti e tre i punti out-of-the-box.
Il consenso raccolto prima del 2021 è ancora valido?
Dipende da come è stato raccolto. Se il consenso è stato raccolto con un meccanismo che soddisfa i requisiti delle linee guida del 10 giugno 2021 (atto positivo univoco, granulare per finalità, documentato), allora è valido finché l'utente non lo revoca. Se invece era stato raccolto con scroll-to-consent o con banner pre-spunte, va riacquisito. Il Garante ha concesso un periodo transitorio scaduto a gennaio 2022 per la rimessa a norma: oltre quella data, i consensi raccolti con modalità non conformi sono considerati invalidi.
Devo fare anche la valutazione d'impatto (DPIA) per i cookie?
In linea generale no, l'installazione di cookie analytics e marketing standard non richiede DPIA. La DPIA è richiesta (GDPR art. 35) per trattamenti che presentano un rischio elevato per i diritti degli interessati: profilazione massiva, decisioni automatizzate, trattamento di dati di minori o sensibili su larga scala. Se il tuo banner abilita solo GA4 + Meta Pixel su un e-commerce standard, la DPIA non serve. Se invece fai retargeting massivo, profilazione comportamentale fine, o tracciamento incrociato di minori, la DPIA va fatta.

A norma con tutti e sei i requisiti, in 60 secondi.

Crei il banner gratis, lo installi, e sei a posto con i sei requisiti del Garante. Senza pagare un legale per leggere le linee guida al posto tuo.

Inizia gratis oraTutte le funzionalità