Cos’è un audit GDPR dei cookie? (E come superarlo nel 2026)

Il GDPR ha otto anni, e il fallimento di compliance più comune sui siti PMI è ancora il banner cookie. Ogni autorità europea ha pubblicato le proprie linee guida; quasi tutte hanno emesso almeno una multa. L’asticella non è alta — è specifica.

Un audit GDPR dei cookie è la verifica strutturata che indica se il sito reggerebbe un controllo del Garante, della CNIL, dell’ICO o dell’AEPD. Questo articolo descrive cosa fa l’audit, quali regole applica e i fallimenti più frequenti sui siti PMI.

Le basi legali, in chiaro

Due norme. La direttiva ePrivacy (art. 5(3)) e, in Italia, l’art. 122 del Codice Privacy: richiedono consenso prima che qualunque informazione non strettamente necessaria sia memorizzata o letta sul dispositivo. Il GDPR (art. 4(11), art. 7) definisce il consenso valido: libero, specifico, informato, univoco e revocabile con la stessa facilità con cui è stato dato.

Cosa controlla l’audit, passo per passo

1. Cattura del traffico al primo caricamento

L’audit visita il sito come un utente nuovo e registra ogni cookie impostato, ogni scrittura su localStorage e ogni richiesta di rete prima dell’interazione con il banner. Tutto ciò di non essenziale qui è una violazione.

2. Inventario vs. cookie policy pubblicata

L’audit elenca ogni cookie e lo confronta con la cookie policy. La policy deve dichiarare tutti — scopo, durata, prima/terza parte.

3. Design del banner

• Pulsanti Accetta e Rifiuta di pari peso al primo livello. Nascondere "Rifiuta" dietro un link impostazioni non è consenso libero. Il Garante e la CNIL hanno sanzionato proprio questo schema.
• Nessuna casella preselezionata.
• Categorie granulari. Un singolo "accetta tutto" non basta.
• Revoca facile come il consenso — link "Cookie" permanente nel footer.
• Niente dark pattern. Niente countdown, "continuando accetti", "interesse legittimo" per la pubblicità.

4. Prova del consenso

Il GDPR richiede di poter dimostrare il consenso di ciascun visitatore. Una CMP moderna lo fa; i banner artigianali quasi mai.

5. Comportamento degli script di terze parti

L’audit ricarica la pagina dopo Accetta, dopo Rifiuta e dopo consensi parziali, per verificare che gli script rispettino la scelta. Errore frequente: uno script che parte comunque dopo Rifiuta, di solito per un tag manager configurato male.

I fallimenti più comuni sulle PMI

Meta Pixel che parte al pageload. Lo snippet va in <head> e si attiva subito. In UE è violazione ad ogni visita.

Google Analytics senza gate di consenso. Consent Mode v2 non è configurato nella maggior parte delle PMI.

Hotjar/Microsoft Clarity/Hubspot registrano prima del consenso. I session-recorder catturano input — senza consenso è violazione ePrivacy chiara.

"Continuando ad usare il sito acconsenti". Rifiutato da tutte le autorità. Da sostituire oggi.

Come superare l’audit

1. Installare una CMP reale che registra il consenso (Iubenda, Cookiebot, Usercentrics, OneTrust).
2. Spostare ogni script di analytics, pubblicità e recording dietro il consent gate.
3. Banner con pulsanti pari, nessuna preselezione, toggle granulari.
4. Link "Cookie" permanente nel footer.
5. Rigenerare la cookie policy per riflettere la realtà.
6. Rieseguire l’audit sui percorsi Accetta e Rifiuta.

La conformità cookie si rompe in silenzio. Marketing aggiunge un tag, un dev integra una chat, un terzo aggiorna lo script. L’unico schema che funziona per le PMI: scansione di base, fix, poi scansioni settimanali che diffano l’inventario.

È esattamente ciò che fa Veracly — scansione di base gratuita, monitoraggio continuo con alert di diff. Avvia una scansione.