Hai installato un banner cookie sul tuo sito e pensi di essere in regola. Purtroppo un banner che mostra un pulsante “Accetta” non basta. Deve bloccare davvero gli script di terze parti finché l’utente non ha dato il proprio consenso. Ed è proprio qui che la maggior parte delle soluzioni gratuite — e persino alcune a pagamento — fallisce.
Nel 2026, un sito medio carica da 20 a 40 script di terze parti: analitica, pubblicità, chat, embed video, mappe di calore, strumenti di marketing. Se il tuo banner ne lascia passare anche solo alcuni prima del consenso, sei in violazione dell’articolo 122 del Codice Privacy e potenzialmente del GDPR. Il Garante per la Protezione dei Dati Personali ha sanzionato decine di aziende per questo motivo tra il 2020 e il 2025, così come la CNIL francese che ha sanzionato oltre 150 imprese per lo stesso motivo nello stesso periodo.
Questo articolo elenca i 37 tracker più spesso dimenticati dai banner gratuiti, spiega come verificare la tua configurazione attuale e confronta gli approcci tecnici delle principali soluzioni sul mercato.
Testa il tuo sito gratis in 10 secondi →
Perché 37 servizi? La checklist 2026
Abbiamo verificato i cento siti più visitati e stilato la lista dei servizi di terze parti che pongono sistematicamente problemi di conformità al GDPR. Il risultato: 37 servizi che qualunque banner cookie serio deve rilevare e bloccare per impostazione predefinita.
Analitica e mappe di calore (14 servizi)
| Servizio | Editore | Cookie senza consenso? |
|---|---|---|
| Google Analytics 4 | ❌ Illegale | |
| Google Tag Manager | ❌ Illegale (se attiva tag non consentiti) | |
| Hotjar | Contentsquare | ❌ Illegale |
| Microsoft Clarity | Microsoft | ❌ Illegale |
| Matomo (self-hosted) | Matomo | ⚠️ Esente se configurato in modalità senza cookie |
| Plausible | Plausible | ✅ Esente (senza cookie) |
| Mixpanel | Mixpanel | ❌ Illegale |
| Segment | Twilio | ❌ Illegale (dipende dalle destinazioni) |
| Amplitude | Amplitude | ❌ Illegale |
| Heap | Heap | ❌ Illegale |
| FullStory | FullStory | ❌ Illegale |
| LogRocket | LogRocket | ❌ Illegale |
| Pendo | Pendo | ❌ Illegale |
| Smartlook | Smartlook | ❌ Illegale |
Da ricordare: solo Plausible e Matomo in modalità senza cookie possono essere caricati senza consenso. Tutti gli altri richiedono un opt-in attivo.
Pubblicità e marketing social (12 servizi)
| Servizio | Editore | Cookie senza consenso? |
|---|---|---|
| Meta Pixel (Facebook) | Meta | ❌ Illegale |
| TikTok Pixel | TikTok | ❌ Illegale |
| Google Ads | ❌ Illegale | |
| LinkedIn Insight Tag | Microsoft | ❌ Illegale |
| Pinterest Tag | ❌ Illegale | |
| Twitter/X Pixel | X | ❌ Illegale |
| Snapchat Pixel | Snap | ❌ Illegale |
| Reddit Pixel | ❌ Illegale | |
| Quora Pixel | Quora | ❌ Illegale |
| Outbrain | Outbrain | ❌ Illegale |
| Taboola | Taboola | ❌ Illegale |
| Marketo | Adobe | ❌ Illegale |
Un Meta Pixel caricato senza consenso è una delle violazioni più frequentemente sanzionate dalle autorità europee. La CNIL ha pubblicato diverse decisioni pubbliche tra il 2023 e il 2025 su questo motivo e il Garante Privacy ha seguito una linea analoga.
Embed video e mappe (3 servizi)
| Servizio | Editore | Cookie senza consenso? |
|---|---|---|
| YouTube | ❌ Illegale (salvo la modalità youtube-nocookie.com) | |
| Vimeo | Vimeo | ❌ Illegale |
| Google Maps | ❌ Illegale |
Molti siti incorporano un video YouTube in home page senza rendersi conto che l’iframe di YouTube carica una trentina di cookie prima ancora che l’utente clicchi su Play. Un banner conforme deve sostituire l’iframe con una schermata di attesa (consent wall) fino al consenso.
Chat e assistenza clienti (7 servizi)
| Servizio | Editore | Cookie senza consenso? |
|---|---|---|
| Intercom | Intercom | ❌ Illegale |
| Crisp | Crisp | ❌ Illegale |
| Tawk.to | Tawk | ❌ Illegale |
| Zendesk Messaging | Zendesk | ❌ Illegale |
| Drift | Drift | ❌ Illegale |
| Olark | Olark | ❌ Illegale |
| HubSpot | HubSpot | ❌ Illegale |
Le chat di supporto pongono un problema particolare: sono percepite come “funzionali” dai webmaster, mentre in realtà raccolgono dati di identificazione, localizzazione e navigazione — quindi sono soggette a consenso.
Esenzione stretta (1 servizio)
Un solo servizio sfugge al consenso: Stripe per i cookie strettamente necessari alla sicurezza del pagamento (antifrode). Anche in questo caso, sono esenti solo i cookie di sessione di sicurezza, non i cookie di marketing associati.
Il confronto dei banner cookie (aprile 2026)
Prima di installare un banner, verifica oggettivamente cosa copre. Ecco un confronto delle soluzioni più diffuse, secondo criteri tecnici e verificabili.
| Criterio | WebLegal CCB | Banner gratuito tipico | Soluzione commerciale (Termly / Iubenda / Cookiebot free tier) |
|---|---|---|---|
| Prezzo | Gratuito, senza limiti di sito o di pagine | Gratuito ma spesso limitato (1 dominio, < 100 pagine, watermark) | A pagamento dal primo sito serio o limitato a 1 dominio |
| Tracker rilevati per impostazione predefinita | 37 servizi + regex estensibili | 5-15 in media | 20-30 |
| Lingue mantenute | 14 lingue UE + 16 fallback | 1-3 (inglese + 2 altre) | 10-50 a seconda del piano |
| Google Consent Mode v2 | 7 segnali su 7 (incluso security_storage) | Spesso incompleto (3-5 segnali) | 7 su 7 nella versione a pagamento |
| Consent wall per embed | 9 embed localizzati (YouTube, Vimeo, Maps, TikTok, Twitter, Instagram, Facebook, Spotify, SoundCloud) | Raro, spesso assente | Parziale, dipende dal piano |
| Peso dello script | 40 KB non minificato (~12 KB gzip) | 30-60 KB | 80-300 KB (OneTrust: 300+ KB) |
| Codice aperto / verificabile | ✅ Codice leggibile, non minificato per scelta | Variabile | Raramente (offuscato, minificato) |
| Rilevamento automatico di CMP esistente | ✅ 36 CMP riconosciuti (per scanner anti-conflitto) | No | Parziale |
| Hosting di terze parti (GDPR) | Script servito da weblegal.ai (SEE) | Variabile (spesso CDN USA) | Spesso CDN USA (trasferimento extra-UE da dichiarare) |
Caratteristiche distintive di WebLegal CCB:
- Il più leggero sul mercato tra le soluzioni complete. Uno script da 40 KB (12 KB gzip) contro 80-300 KB delle alternative. Meno latenza, miglior punteggio Core Web Vitals, impatto SEO positivo.
- Non minificato per scelta. Il codice è leggibile da uno sviluppatore, un DPO o un esperto del Garante. È un argomento di trasparenza e conformità: puoi giustificare esattamente cosa fa il banner sul tuo sito.
- Localizzazione reale delle schermate di sostituzione. Quando un utente tedesco trova un video YouTube bloccato, la schermata di attesa è in tedesco, non in inglese di default. Stessa logica per Vimeo, Spotify, Instagram, TikTok ecc.
- Consent Mode v2 completo da aprile 2026. I 7 segnali Google sono emessi fin dal primo caricamento, poi aggiornati dopo il consenso. Zero perdita di conversioni Google Ads legate a un segnale mancante.
Come testare il tuo banner attuale
Prima di cambiare soluzione, testa cosa fa davvero il tuo banner oggi. Due metodi pratici:
Metodo 1 — Scanner automatico (30 secondi)
Inserisci il tuo URL nel nostro scanner di conformità. Analizza la pagina in un browser headless, rileva i cookie impostati prima del clic su “Accetta” ed elenca i servizi caricati senza consenso. Risultato in 10 secondi, senza registrazione.
Metodo 2 — DevTools di Chrome (5 minuti)
- Apri il tuo sito in modalità navigazione privata
- F12 → scheda Application → Cookies (prima di qualunque interazione)
- Guarda i cookie già impostati: se vedi qualcosa di diverso dai tuoi cookie di sessione +
wl_cc_consent(o equivalente), c’è un problema - Scheda Network, filtro
XHR/Fetch→ guarda le richieste versogoogle-analytics.com,facebook.net,tiktok.com,hotjar.com: qualunque richiesta prima del clic è una violazione
Metodo 3 — Estensione dedicata
L’estensione Chrome CMP Verifier (gratuita) simula un visitatore che ha rifiutato, poi accettato, e ti dice se le regole del consenso sono state rispettate. Molto utile per documentare la conformità presso il tuo DPO.
I quattro errori più frequenti
Errore 1 — Il banner appare ma non blocca nulla
È l’errore più diffuso con i plugin gratuiti di WordPress “banner in 1 clic”. Il plugin mostra il banner, registra il consenso… ma non tocca gli script. Google Analytics continua a caricarsi. Risultato: hai fatto lo sforzo del banner senza alcun beneficio giuridico.
Come verificarlo: applica il Metodo 2 sopra. Se vedi cookie _ga o _fbp prima di cliccare, è confermato.
Errore 2 — Gli embed YouTube/Vimeo si caricano lo stesso
Anche se il tuo banner blocca Google Analytics, spesso lascia passare gli iframe <iframe src="https://www.youtube.com/embed/..."> incorporati direttamente nelle tue pagine. Ciascuno carica 20-30 cookie Google.
Soluzione: il banner deve sostituire dinamicamente l’iframe con una schermata di attesa che dica “Questo video utilizza cookie. Accetta per visualizzarlo.” È il consent wall — standard su WebLegal CCB, opzionale o assente in molti altri.
Errore 3 — La modalità “rifiuta tutto” non è equivalente a “accetta tutto”
Le autorità europee, tra cui il Garante Privacy e la CNIL, richiedono dal 2021 che rifiutare sia tanto semplice quanto accettare. Se il tuo banner propone un grosso pulsante verde “Accetta tutto” ma nasconde “Rifiuta” dietro un link di testo a tre clic, sei fuori legge. Sanzioni documentate tra il 2022 e il 2025 su questo motivo: decine di decisioni pubbliche.
Errore 4 — Il banner blocca Googlebot
Alcuni banner vengono mostrati anche ai robot di indicizzazione, cosa che Google può interpretare come interstitial abusivo e danneggiare la tua SEO. Un banner moderno deve rilevare gli User-Agent noti (Googlebot, Bingbot, DuckDuckBot) e non disturbarne il crawling.
Stato su WebLegal CCB: funzionalità in roadmap — si veda la nostra roadmap pubblica (issue #174).
Installare WebLegal CCB in 2 minuti
Se dopo la lettura decidi di migrare, ecco la procedura:
- Vai su weblegal.ai/it/cookie-banner/
- Inserisci il nome del tuo sito e le categorie di cookie che utilizzi
- Copia lo snippet (una riga
<script src="...">) - Incollalo prima di qualunque altro script di terze parti nel tag
<head>del tuo sito - Testa con il Metodo 1 sopra
Zero registrazione, zero carta di credito, zero limiti di pagine o domini. Lo snippet è un unico script da 40 KB ospitato su weblegal.ai — il tuo sito non carica nulla d’altro finché il visitatore non interagisce con il banner.
FAQ
Il mio banner WordPress gratuito è sufficiente?
Probabilmente no. La maggior parte dei plugin gratuiti mostra un banner ma non blocca gli script. Testa con il Metodo 2 (DevTools) per averne la certezza. Se vedi _ga, _fbp, _gcl_au o cookie .hotjar.com prima di cliccare, sei in violazione.
Ci si può limitare ai “cookie strettamente necessari”?
Sì, a condizione di non utilizzare effettivamente alcun tracker analitico, pubblicitario o di chat di terze parti. Concretamente: niente Google Analytics, niente Facebook Pixel, niente YouTube incorporato, niente Google Maps, niente Intercom. Un blog senza alcuno strumento di marketing può farne a meno. Un e-commerce: mai.
I banner a pagamento sono migliori?
Non automaticamente. Un banner a pagamento offre generalmente più lingue e interfacce di amministrazione più curate, ma non necessariamente una migliore qualità di blocco. Il peso dello script (a volte 200-300 KB con OneTrust) può inoltre danneggiare la tua SEO attraverso i Core Web Vitals.
Come provare la conformità del mio banner al Garante?
Conserva tre elementi:
- il codice dello script utilizzato (o l’URL pubblico come
https://weblegal.ai/js/wl-cookie-consent.js) - una scansione periodica del tuo sito (screenshot + report)
- un registro del consenso — la prova che memorizzi la scelta dell’utente
Su WebLegal, il consenso è memorizzato in un cookie wl_cc_consent con data e categorie, il cui formato è documentato pubblicamente.
Bisogna mostrare il banner anche ai visitatori extra-UE?
Sì per impostazione predefinita. È tecnicamente possibile limitare il banner ai visitatori UE, ma non è consigliato:
- se un visitatore extra-UE si autentica con un account UE, devi rispettarne i diritti
- regolamentazioni simili esistono ormai nel Regno Unito (UK GDPR), in California (CCPA), in Brasile (LGPD), e si estendono ad altre giurisdizioni
- la coerenza UX è migliore con un banner universale
In sintesi
La conformità di un banner cookie si riassume in tre criteri tecnici:
- Deve rilevare e bloccare effettivamente i 20-40 script di terze parti più comuni — non solo mostrare un banner.
- Deve implementare Consent Mode v2 completo (7 segnali Google) per preservare i tuoi dati di marketing.
- Deve sostituire gli embed (YouTube, Vimeo, Maps, ecc.) con schermate di attesa localizzate.
Un test di 10 secondi con il nostro scanner ti dice a che punto sei. Una migrazione a WebLegal CCB richiede 2 minuti, costa zero euro e copre i 37 servizi elencati qui.