Nel luglio 2024 Google ha annunciato che non avrebbe rimosso i cookie di terze parti da Chrome — una retromarcia rispetto a anni di annunci. Nel 2026 i cookie di terze parti esistono ancora su Chrome, ma con un meccanismo di scelta utente. Allo stesso tempo GDPR, ePrivacy e le autorità di controllo europee hanno inasprito i requisiti di consenso al punto che "cookieless" è già una realtà per una larga fetta di visitatori che rifiutano il tracking.
In questa guida vediamo cosa è cambiato davvero, cosa rimane uguale, e le 3 strategie concrete per un sito aziendale italiano nel 2026.
Privacy Sandbox e tracciamento cookieless: lo stato attuale
La Privacy Sandbox di Google è un insieme di API browser (Topics, Attribution Reporting, Protected Audience) pensate per sostituire i cookie di terze parti con meccanismi privacy-preserving gestiti dal browser. Nel 2026 queste API sono disponibili in Chrome ma non sono diventate lo standard universale che Google aveva promesso. Intanto:
- Safari (WebKit) blocca i cookie di terze parti di default dal 2017 — su iOS rappresenta il 50%+ del traffico mobile italiano.
- Firefox blocca i cookie di terze parti in Enhanced Tracking Protection.
- Chrome mantiene i cookie ma introduce una UX di scelta per l'utente.
Risultato: se un utente accetta il banner cookie sul tuo sito, il tracking funziona su Chrome. Ma su Safari mobile non ricevi mai i cookie di terze parti dei circuiti pubblicitari — indipendentemente dal consenso.
Cosa richiede il GDPR sul tracciamento nel 2026
Il Garante della Privacy italiano ha confermato che qualsiasi cookie non strettamente necessario — inclusi i cookie analitici — richiede consenso esplicito, preventivo e granulare. Le sanzioni per banner non conformi sono aumentate: nel 2024-2025 il Garante ha irrogato sanzioni tra i 50.000 € e i 300.000 € a siti di medie dimensioni. Le regole concrete per il 2026:
- No pre-spuntati: ogni categoria di cookie deve essere deselezionata di default.
- Rifiuto facile come accettazione: il pulsante "Rifiuta tutti" deve essere visibile quanto "Accetta tutti".
- Consenso granulare: l'utente può accettare gli analytics e rifiutare il remarketing.
- Revoca semplice: deve esistere un link permanente per riaprire le preferenze cookie.
Le 3 strategie per restare compliant senza perdere tutti i dati
1. Google Analytics 4 con server-side tracking
GA4 in configurazione standard invia dati direttamente dal browser al server Google — bloccato dagli ad blocker e limitato da Safari ITP. Con il tracking server-side (via Google Tag Manager Server Container, Stape.io o soluzione custom), i dati passano prima dal tuo server e poi a GA: resistente agli ad blocker, più accurato, e con la possibilità di anonimizzare l'IP prima dell'invio.
2. First-party data come asset primario
I dati che possiedi direttamente (iscritti newsletter, account registrati, dati di acquisto) non dipendono dai cookie di terze parti e non scadono con le normative. Nel 2026 costruire una lista email qualificata vale più di qualsiasi pixel di retargeting.
3. Analytics privacy-friendly come alternativa o complemento
Strumenti come Plausible, Fathom o Umami non usano cookie e non richiedono banner (nella versione senza cookie). Danno dati aggregati — niente dati personali, niente cross-site tracking — conformi al GDPR by design. Limite: niente dati demografici, niente attribuzione cross-device.
Cosa fare subito sul tuo sito
Audit rapido in 30 minuti:
- Testa il tuo banner cookie con lo strumento del Garante (agid.gov.it) o con Cookiebot Scanner.
- Verifica che Google Analytics sia configurato con anonymizeIp (o server-side).
- Controlla che i tag di remarketing (Meta Pixel, LinkedIn Insight) non si carichino prima del consenso.
Conclusione
Il cookieless non è arrivato nel modo in cui Google lo aveva annunciato, ma il tracciamento è comunque cambiato profondamente. Chi nel 2026 non ha un banner GDPR conforme e una strategia first-party rischia sanzioni e dati sempre più inaccurati.
Se vuoi una revisione del tuo setup analitico e della compliance cookie, scrivici tramite il form preventivo: l'audit iniziale è gratuito. Tutti i siti che costruiamo nei nostri servizi web includono configurazione GDPR compliant dal giorno uno. Vedi gli esempi nel portfolio.