Inserisci una parola chiave per iniziare la ricerca
Ricerca in corso...
Immaginate un sito di notizie che vi mostra un banner: il tasto "Accetta tutto" è grande, verde e immediato. Il tasto "Rifiuta" non c'è. C'è solo "Personalizza", che apre un pannello a quattro livelli dove, dopo sette clic, potete finalmente declinare ogni tracciamento. Oppure — scelta alternativa — potete abbonarvi per 4,99 euro al mese e navigare senza pubblicità. Questo scenario non è ipotetico: è la realtà di centinaia di siti web italiani oggi, e si chiama modello Pay or Ok. E il Garante per la protezione dei dati personali ha già preso posizione.
Il punto centrale che molti operatori ancora sottovalutano è questo: non è sufficiente avere un banner cookie. È necessario che quel banner produca un consenso giuridicamente valido ai sensi del GDPR. Un consenso che, per essere tale, deve essere libero, specifico, informato e inequivocabile, come dispone l'art. 4, n. 11 del Regolamento UE 2016/679. Quando il design dell'interfaccia è costruito per orientare la scelta dell'utente verso l'accettazione, si parla di dark pattern: pratiche di progettazione ingannevole che svuotano il consenso della sua sostanza, trasformandolo in una finzione normativa.
Il Garante in azione: dal banner all'ammonimento fino alla sanzione
Il Garante Privacy italiano ha adottato un approccio sempre più rigoroso e articolato sul tema. Con il provvedimento del 27 febbraio 2025 n. 10118222, l'Autorità ha esaminato un caso in cui il titolare aveva configurato il banner in modo da consentire la prosecuzione della navigazione senza installazione di cookie diversi da quelli tecnici, oppure attraverso un consenso specifico e granulare per le categorie non tecniche. L'Autorità ha ritenuto comunque sussistenti violazioni degli artt. 4, punto 11; 5; 7; 12; 13; 24 e 25 del Regolamento e dell'art. 122 del Codice Privacy, nonché delle Linee guida cookie del 10 giugno 2021. La sanzione pecuniaria non è stata irrogata solo in ragione del ravvedimento operoso del titolare, che aveva adottato misure correttive tempestive: l'Autorità si è limitata a un ammonimento formale, precisando però che la conformità strutturale del banner non esclude di per sé l'illiceità di altri profili del trattamento.
Sul piano delle sanzioni pecuniarie, la Corte di Cassazione, Sez. I civile, con l'ordinanza del 14 aprile 2026 n. 9374, è intervenuta sui criteri di calcolo delle sanzioni GDPR, confermando che il massimo edittale non è ancorato necessariamente alla soglia percentuale del fatturato ma può raggiungere la soglia fissa di 20 milioni di euro, purché la misura risulti effettiva, proporzionata e dissuasiva. Un principio che rafforza il potere deterrente del Garante anche nei confronti di operatori di medie dimensioni, non solo delle grandi piattaforme.
Il quadro sanzionatorio è ulteriormente precisato dalla Cass. civ., Sez. I, n. 18583 del 8 luglio 2025, che ha chiarito i termini procedurali entro cui il Garante può irrogare sanzioni, distinguendo nettamente la fase investigativa da quella propriamente sanzionatoria. Una pronuncia rilevante per chi intende eccepire vizi procedurali nell'ambito di ricorsi avverso i provvedimenti dell'Autorità, poiché fissa il confine temporale oltre il quale l'esercizio del potere sanzionatorio diventa illegittimo.
Il provvedimento n. 327 del 4 giugno 2025 merita poi attenzione separata: in quel caso, a condurre l'attività ispettiva è stato il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, su delega del Garante, su un campione di operatori web. Questo conferma che i controlli sui cookie banner non sono più affidati solo a segnalazioni e reclami: esiste un'attività di vigilanza sistematica e proattiva, con criteri di selezione dei soggetti verificati che prescindono dalla dimensione dell'impresa.
Il nodo irrisolto: il modello "Pay or Ok" e la libertà del consenso
Il fronte più caldo del diritto dei cookie è oggi il modello Pay or Ok, detto anche consent or pay: l'utente può scegliere se accettare la profilazione pubblicitaria oppure pagare un abbonamento per accedere al servizio senza tracciamento. Il Garante italiano, con consultazione pubblica avviata il 29 aprile 2025 (provvedimento n. 272), ha aperto un confronto formale su questo schema, registrando come un numero crescente di titolari di siti — in particolare portali di informazione — abbia subordinato la fruizione del servizio a questa alternativa binaria. L'Autorità ha richiesto contributi, osservazioni e proposte, segnalando che tale modello solleva dubbi sulla libertà del consenso: se rifiutare il tracciamento comporta un esborso economico, il consenso prestato da chi non può o non vuole pagare è davvero libero?
La questione non è nuova a livello europeo. L'EDPB, con Opinion 08/2024 del 17 aprile 2024, si era già espresso criticamente sul modello Pay or Ok applicato alle grandi piattaforme online, con Meta come riferimento diretto. L'Opinione ha stabilito che, per gli operatori di larga scala, un'alternativa a pagamento non è, di per sé, sufficiente a rendere libero il consenso. Il Garante italiano sta valutando se e in che misura questo orientamento si applichi anche ai siti di piccole e medie dimensioni: la consultazione pubblica è ancora in corso, ma l'orientamento restrittivo appare prevalente.
Qui emerge un profilo giuridico che gli altri commentatori tendono a trascurare. La questione non è solo se il modello Pay or Ok sia lecito, ma chi ne sopporta il rischio nelle more della decisione. Il titolare del sito che ha implementato tale schema nel periodo di incertezza normativa non è al riparo da contestazioni: il principio di accountability ex art. 5, par. 2 GDPR impone che sia lui a dimostrare in ogni momento la conformità del trattamento, e non l'Autorità a provare l'illiceità. Questo ribaltamento dell'onere della prova — che i giuristi romani avrebbero sintetizzato nell'adagio actori incumbit probatio, salvo qui applicato a sfavore del titolare — rende ogni soluzione borderline strutturalmente rischiosa.
Allo stesso modo, il problema dei dark pattern nei banner cookie non è riducibile alla sola estetica del tasto "Accetta". Un'indagine del Garante italiano condotta nell'ambito del Global Privacy Enforcement Network ha analizzato 50 siti web di comparatori: in oltre il 60% dei casi i banner enfatizzavano l'opzione meno favorevole alla privacy dell'utente, mentre in quasi il 40% dei casi il rifiuto dei cookie richiedeva un numero eccessivo di passaggi. Dati che descrivono uno stato di non conformità strutturale, non episodica.
Sul piano del diritto vivente europeo, il Codice del Consumo e la Direttiva UE sulle pratiche commerciali sleali (Direttiva 2005/29/CE, recepita in Italia con il D.Lgs. 206/2005) affiancano il GDPR in questo terreno: un'interfaccia progettata per indurre in errore l'utente sulla portata del consenso può configurare, oltre alla violazione del regolamento sulla protezione dei dati, anche una pratica commerciale ingannevole, con le conseguenti competenze concorrenti tra Garante Privacy e AGCM. Il doppio fronte sanzionatorio è un rischio reale e spesso ignorato dai titolari.
Scriveva Norberto Bobbio che il diritto non si misura sulla perfezione delle norme scritte, ma sulla distanza tra quelle norme e la realtà effettiva dei comportamenti che esse intendono regolare. Il cookie banner è, in fondo, la cartina di tornasole più immediata di questa distanza: tra la norma che vuole un consenso libero e informato e il design che orienta subdolamente la scelta dell'utente, c'è ancora uno spazio enorme che il diritto digitale italiano sta cercando di colmare, un provvedimento alla volta.
Per i titolari di siti web — siano essi piccole imprese, professionisti o portali editoriali — la lezione pratica è chiara: un banner cookie non è mai un adempimento "una tantum". Va verificato periodicamente rispetto all'evoluzione dei provvedimenti del Garante, aggiornato quando si integrano nuovi servizi di tracciamento di terze parti (come pixel pubblicitari o strumenti di analytics), e documentato in modo da poter dimostrare, in ogni momento, che il consenso raccolto è stato libero, specifico, informato e inequivocabile. Il pulsante "Rifiuta tutto" deve essere visibile, accessibile e funzionalmente equivalente al pulsante "Accetta tutto", senza passaggi aggiuntivi. La X, se presente, deve chiudere il banner senza attivare alcun cookie non tecnico.
Il punto più sottovalutato, infine, riguarda i cookie di terze parti: Meta Pixel, Google Ads e strumenti analoghi richiedono consenso esplicito prima del loro caricamento, e il banner deve nominarli esplicitamente. Caricare questi strumenti senza consenso preventivo — anche solo per pochi secondi prima che l'utente interagisca con il banner — costituisce trattamento di dati personali senza base giuridica, con tutte le conseguenze sanzionatorie che ne derivano. Non è una sottigliezza tecnica: è il tipo di violazione che ha già prodotto provvedimenti in Italia e in tutta Europa.
Redazione - Staff Studio Legale MP