Argomenti trattati
Nel marzo 2026 un audit indipendente condotto da webXray ha analizzato 7.634 siti popolari in California per verificare se il segnale Global Privacy Control (o GPC) venisse rispettato. Il risultato mette in luce uno scarto importante tra il principio giuridico dell’opt-out e la pratica tecnica: in molti casi i server pubblicitari continuano a impostare cookie pubblicitari anche quando il browser invia il segnale che indica il rifiuto del tracciamento.
Questo fenomeno interessa sia grandi piattaforme sia servizi terzi che i publisher integrano nelle loro pagine. L’audit non si limita a osservazioni generiche: ha tracciato richieste HTTP, header come sec-gpc: 1 e risposte che contengono il comando set-cookie, documentando comportamenti che possono andare contro le prescrizioni del CCPA. Le implicazioni legali e operative per editori e aziende sono quindi concrete.
Cosa ha rilevato l’audit
La verifica tecnica di webXray ha mostrato che oltre la metà dei siti esaminati ha continuato a impostare cookie pubblicitari dopo l’invio del segnale GPC. In termini assoluti sono stati registrati 125.106 cookie pubblicitari impostati in violazione apparente dell’opt-out, attribuiti a 194 servizi su 242 valutati: un failure rate complessivo pari all’80%. Questi numeri non sono astratti, ma derivano dall’osservazione diretta del traffico e dal confronto fra sessioni con e senza GPC abilitato.
Numeri per piattaforma
L’audit dettaglia il comportamento dei principali attori: Google ha mostrato una persistente risposta con il comando set-cookie (cookie IDE su doubleclick.net), con un failure rate del 77% e 11.021 cookie rilevati nonostante il segnale di opt-out. Microsoft ha registrato 7.550 cookie impostati e un failure rate del 35%, con identità utente persistenti come il MUID. Meta, attraverso il suo Pixel, ha invece dimostrato l’assenza di un controllo condizionale per il GPC, impostando 1.293 cookie con un failure rate del 21%.
Perché succede e quali correzioni tecniche sono possibili
Dal punto di vista tecnico il problema è spesso banale: quando il server pubblicitario riceve una richiesta contenente sec-gpc: 1, invece di evitare di tracciare restituisce ancora l’istruzione set-cookie. La correzione proposta dagli analisti è semplice e immediata: rispondere con un codice HTTP 451 Unavailable For Legal Reasons alle richieste che dichiarano l’opt-out, evitando così di impostare cookie. Questa soluzione non richiede riprogettazioni complesse dell’infrastruttura e sarebbe compatibile con le norme che riconoscono il GPC come segnale vincolante.
Perché il codice non viene applicato
Le motivazioni non sono esclusivamente tecniche: conflitti di interesse, integrazioni legacy e modello di business basato sulla pubblicità favoriscono l’inerzia. Nel caso di Meta, bastano poche righe di controllo nel codice del Pixel per rispettare il segnale; per Google e Microsoft la modifica è altrettanto elementare. Tuttavia, la realtà operativa mostra che queste correzioni non sono state adottate sistematicamente.
Il ruolo dei CMP e le conseguenze legali per le aziende
I consent management platform (o CMP) certificati hanno inoltre fallito nel bloccare i cookie pubblicitari dopo l’invio del GPC. Nell’audit 11 CMP sono stati esaminati e nessuno ha bloccato efficacemente i cookie di Google quando il segnale era presente. Il CMP più esteso del campione ha contribuito a 23.503 cookie impostati su 1.239 siti, con un’esposizione legale stimata pari a 1,3 miliardi di dollari per i publisher che lo utilizzano.
Sul piano normativo il CCPA riconosce ai consumatori il diritto di vietare la vendita o la condivisione dei dati e l’Attorney General della California ha dichiarato il GPC come segnale vincolante. Le azioni esecutive recenti citate nell’analisi includono multe consolidate o accordi con enti come Sephora (1,2 milioni di dollari, 2026), Healthline Media (1,55 milioni di dollari, 2026), Tractor Supply (1,35 milioni di dollari, 2026), PlayOn Sports (1,1 milioni di dollari, 2026), Ford (375.703 dollari, 2026) e Disney (2,75 milioni di dollari, 2026).
webXray stima un’esposizione aggregata conservativa di circa 5,8 miliardi di dollari calcolata su 4.170 siti responsabili di aver impostato cookie nonostante l’opt-out, moltiplicando la multa media storica per sito. Inoltre, dal 1 gennaio 2026 sono entrate in vigore norme CCPA più stringenti che impongono audit obbligatori e valutazioni del rischio privacy, aumentando la pressione su chi opera nell’adtech e sui publisher che integrano tali servizi.
Per editori e imprese la lezione è chiara: non basta esporre banner o certificare un CMP; è necessario verificare tecnicamente che i segnali di opt-out come il GPC siano effettivamente rispettati. Implementare controlli di rete, ispezionare le risposte HTTP e richiedere garanzie contrattuali dai fornitori pubblicitari sono passi pratici per ridurre il rischio legale e ricostruire fiducia con gli utenti.