Blog

Un sito senza banner cookie: si può, e conviene

Il banner dei cookie è diventato un riflesso automatico, ma quasi sempre è il sintomo di scelte tecniche, non un obbligo di legge. Ecco come si costruisce un sito che non ne ha bisogno, e perché è un vantaggio.

Quasi ogni sito che apri ti accoglie con una finestra che chiede di accettare i cookie. È diventato un gesto automatico da una parte e dall’altra: chi pubblica lo mette perché lo mettono tutti, chi naviga clicca «accetta» senza leggere. Eppure quel banner, nella maggior parte dei casi, è il sintomo di una scelta tecnica, non un obbligo che cade dal cielo.

Perché esiste il banner

La regola è più semplice di come viene raccontata. Il consenso preventivo previsto dall’art. 122 del Codice privacy serve quando un sito installa sul dispositivo dell’utente strumenti che non sono strettamente necessari a far funzionare la pagina: cookie di profilazione, statistiche che identificano il singolo visitatore, script di terze parti che seguono la persona da un sito all’altro.

I cookie tecnici, quelli indispensabili a erogare il servizio che l’utente ha chiesto, non richiedono consenso. Il punto è che la maggior parte dei banner non nasce dai cookie tecnici. Nasce da uno strumento di statistiche con cookie, dai font caricati dal CDN di terzi, da una mappa incorporata, da un video, da un pulsante «mi piace». Ognuno di questi porta con sé tracciamento di terze parti, ed è quello che obbliga al banner.

Cosa vuol dire «cookieless»

Un sito cookieless affronta il problema all’origine: invece di chiedere il permesso di tracciare, non traccia. In pratica significa fare alcune scelte precise in fase di costruzione.

  • Font ospitati sul proprio dominio, non chiamati da un servizio esterno. Stesso risultato visivo, nessun dato che parte verso terzi.
  • Niente statistiche con cookie. Se servono i numeri, si usano strumenti che misurano in forma aggregata e anonima, senza identificare il singolo visitatore.
  • Niente componenti di terze parti incorporati, come mappe, video o widget social caricati da altri domini. Dove servono davvero, si scelgono alternative che non tracciano.
  • Protezione anti-spam del form senza sistemi che profilano: basta un campo nascosto e un limite di frequenza sulle richieste.

Tolti i tracciatori di terze parti, non resta nulla che richieda il consenso. E senza quello, il banner non ha più ragione di esistere.

Una cosa serve comunque: l’informativa

Qui è facile confondere due piani. Togliere il banner non vuol dire azzerare ogni obbligo. Appena un sito tratta dati personali, e basta un form di contatto o i normali log del server con gli indirizzi IP, è dovuta l’informativa privacy: chi è il titolare, quali dati raccoglie, per quale finalità, per quanto tempo li conserva. L’informativa resta, il banner no. Sono due cose diverse, che vengono spesso fatte coincidere per abitudine.

Perché conviene, oltre che alla legge

Rinunciare al tracciamento di terze parti non è solo un modo per evitare il banner. È un sito migliore.

  • Più veloce. Ogni script di terze parti è una richiesta in più, spesso verso server lontani. Toglierli alleggerisce le pagine e migliora i tempi di caricamento, che pesano anche sul posizionamento nei motori di ricerca.
  • Più rispettoso. L’utente non deve decidere nulla, perché non c’è nulla da concedere. Chi arriva trova il contenuto, non una finestra da chiudere.
  • Più sicuro. Ogni componente esterno è una porta in più che qualcun altro controlla. Meno terze parti vuol dire meno superficie esposta e meno cose che possono rompersi o essere compromesse.
  • Più semplice da gestire. Niente piattaforma di gestione del consenso da configurare, aggiornare e sperare che funzioni.

In pratica

Questo stesso sito è costruito così: nessun cookie non tecnico, nessuno script di terze parti, font serviti dal dominio. La politica di sicurezza dichiarata dal server lo rende esplicito, perché consente alle risorse di arrivare solo dal sito stesso.

# Tutto parte e resta sul dominio, niente verso terze parti
Content-Security-Policy: default-src 'self'; connect-src 'self'

# E nessun cookie di tracciamento nella risposta:
Set-Cookie: (nessuno)

Non è la soluzione adatta a ogni progetto: ci sono casi in cui un servizio di terze parti è davvero necessario, e allora il consenso va chiesto e gestito bene. Ma per un sito vetrina, un portale o un gestionale, partire senza tracciatori è quasi sempre possibile. E quando è possibile, è la scelta giusta: per chi naviga, per la legge e per chi il sito lo deve mantenere nel tempo.

← Tutti gli articoli

Un progetto o un dubbio da affrontare?

Descrivi cosa ti serve: valutiamo insieme l’approccio giusto.

Richiedi una valutazione
Un sito senza banner cookie: si può, e conviene | Custralis