Sicurezza
SSL, GDPR e cookie: cosa deve avere davvero un sito aziendale nel 2026
Il tuo sito ha il lucchetto verde nella barra del browser? Hai una cookie policy? Sai cosa raccoglie il tuo sito e lo hai dichiarato? Se una di queste risposte è “non so”, hai un problema — non solo con il Garante, ma con i clienti che vedono un sito che non ispira fiducia.
In breve: Nel 2026 un sito aziendale deve avere HTTPS attivo, cookie banner conforme (consenso prima del tracciamento, non dopo), privacy policy completa e aggiornata. Google Analytics 4 è legale in Italia con configurazione corretta. Il cookie banner implementato male penalizza anche la velocità del sito. Verifica con il tool del Garante — è gratuito.
La compliance non è un tema solo legale. È un tema di fiducia: un sito senza HTTPS o con un cookie banner fuorviante comunica disattenzione. E un cliente che percepisce disattenzione non compila il form.
HTTPS e SSL: il minimo indispensabile
Il lucchetto nella barra del browser indica che la connessione tra il tuo sito e il visitatore è cifrata. Senza HTTPS:
-
Google mostra “Non sicuro” accanto all’URL su Chrome (il browser più usato in Italia)
-
I form di contatto trasmettono dati in chiaro — nome, email, messaggi
-
Google penalizza i siti non sicuri nel ranking organico dal 2014
Verificare: apri il tuo sito su Chrome. Clicca sull’icona a sinistra dell’URL. Se vedi “La connessione è sicura” con lucchetto chiuso: ok. Se vedi “Non sicuro”: il certificato SSL non è attivo o è scaduto.
Il certificato SSL (Let’s Encrypt) è gratuito. Se il tuo hosting non te lo ha attivato automaticamente, contattali o cambia hosting.
Cookie banner: cosa dice davvero il Garante
Il Garante per la Privacy italiano ha chiarito in modo inequivocabile le regole nel provvedimento “Cookie e altri strumenti di tracciamento” (10 giugno 2021, aggiornato 2022):
Il consenso deve essere libero, specifico, informato e inequivocabile. Significa:
-
Il banner deve apparire prima che qualsiasi cookie non tecnico venga installato — non dopo
-
Il pulsante “Accetta tutti” e “Rifiuta tutti” devono avere la stessa visibilità e accessibilità
-
“Continuando a navigare accetti i cookie” non è consenso valido
-
I cookie tecnici (necessari al funzionamento del sito) non richiedono consenso
-
I cookie analitici (Google Analytics) e di marketing richiedono consenso esplicito
Gli errori più frequenti che il Garante ha sanzionato:
-
Banner con solo il pulsante “Accetta” senza possibilità di rifiutare
-
“X” per chiudere il banner che viene interpretato come accettazione
-
Impostazioni di default pre-selezionate su “Accetta”
-
Cookie di profilazione già installati prima del consenso
Sanzione massima: fino al 4% del fatturato annuo o €20 milioni per GDPR; sanzioni amministrative fino a €2 milioni per il Codice Privacy italiano.
Google Analytics 4 in Italia: è legale?
Sì, con configurazione corretta. Il Garante italiano ha dichiarato Universal Analytics (versione precedente) non conforme al GDPR per il trasferimento di dati verso USA. Google Analytics 4 risolve questa questione con:
-
Anonimizzazione IP attiva di default
-
Possibilità di hosting europeo dei dati
-
Configurazione senza cookie di profilazione (solo cookie tecnici + analitici anonimi)
Per essere a norma con GA4:
-
Attivare l’anonimizzazione IP (è default in GA4, verifica che non sia stata disabilitata)
-
Disabilitare la condivisione di dati con Google Signals se non strettamente necessaria
-
Configurare la data retention su 14 mesi massimo
-
Inserire Google Analytics nella categoria “cookie analitici” nel banner, con consenso richiesto
Alternativa conforme senza necessità di consenso: Matomo self-hosted (dati solo sul tuo server, nessun trasferimento a terzi).
Privacy policy: cosa deve contenere
La privacy policy è il documento che spiega agli utenti:
-
Chi è il titolare del trattamento dati (ragione sociale, P.IVA, indirizzo)
-
Quali dati vengono raccolti (form, analytics, cookie)
-
Perché vengono raccolti (contratto, interesse legittimo, consenso)
-
Per quanto tempo vengono conservati
-
Se vengono trasferiti a terzi (Google, Meta, ecc.)
-
Quali diritti ha l’utente (accesso, rettifica, cancellazione)
-
Come esercitare quei diritti (email di contatto)
Una privacy policy generica copiata da internet che non corrisponde al tuo sito reale non è conforme. Se hai un form di contatto, una chat, un pixel Facebook, devi dichiararli.
Tool gratuito per verificare: il Garante ha rilasciato uno strumento di verifica automatica dei cookie a cookie.garanteprivacy.it. Inserisci l’URL del tuo sito: scansiona e ti dice quali cookie installa, se prima o dopo il consenso, se sono dichiarati.
Il cookie banner fatto male rallenta il sito
Un problema tecnico che spesso viene ignorato: il cookie banner implementato con script pesanti può peggiorare LCP, INP e CLS (i Core Web Vitals che Google usa per il ranking).
Gli errori tecnici più comuni:
-
Script del cookie manager che blocca il rendering della pagina (render-blocking)
-
Caricamento di tutti gli script di terze parti prima del consenso (inutile se il consenso poi non arriva)
-
Animazioni del banner che causano layout shift
Una implementazione corretta carica il banner in modo non bloccante, ritarda tutti gli script di terze parti fino al consenso, usa CSS inline per il banner invece di file CSS esterni.
La checklist di compliance per il tuo sito
-
HTTPS attivo e certificato non scaduto ✓
-
Cookie banner con “Accetta” e “Rifiuta” ugualmente visibili ✓
-
Nessun cookie non tecnico prima del consenso ✓
-
Privacy policy aggiornata con tutti i servizi realmente usati ✓
-
Google Analytics 4 configurato con anonimizzazione IP ✓
-
Dati dei form criptati (HTTPS) ✓
-
Responsabile del trattamento dichiarato (ragione sociale, P.IVA) ✓
-
Diritti degli utenti spiegati e contatto dichiarato ✓
Se non sai rispondere a uno di questi punti, vale la pena verificare prima che lo faccia il Garante.
Nei siti che costruiamo, la compliance GDPR è inclusa: cookie banner conforme, privacy policy reale (non template generico), GA4 configurato correttamente. Non è un optional — è parte del lavoro.
Il tuo sito è davvero a norma, o solo sembra esserlo?
Mandaci il link: verifichiamo HTTPS, cookie e privacy policy. Audit gratuito, risposta in giornata.
Punti chiave
- Il consenso ai cookie deve essere raccolto prima dell’installazione dei cookie non tecnici; “continuando a navigare accetti” non è consenso valido.
- I pulsanti “Accetta tutti” e “Rifiuta tutti” devono avere la stessa visibilità e accessibilità.
- Google Analytics 4 è legale in Italia con configurazione corretta (anonimizzazione IP, no Google Signals se non necessario, retention max 14 mesi).
- Il Garante mette a disposizione un tool gratuito di scansione cookie a cookie.garanteprivacy.it.
- Un cookie banner implementato male peggiora i Core Web Vitals (LCP, INP, CLS) e quindi il ranking.
Domande frequenti
Cosa deve avere un sito per essere a norma GDPR nel 2026?
HTTPS attivo, cookie banner conforme (consenso prima dei cookie non tecnici, “Accetta” e “Rifiuta” ugualmente visibili), privacy policy reale e aggiornata, e analytics configurato in modo conforme.
Google Analytics 4 è legale in Italia?
Sì, con configurazione corretta: anonimizzazione IP attiva, condivisione dati con Google Signals disattivata se non necessaria, e data retention impostata al massimo a 14 mesi. In alternativa, Matomo self-hosted non richiede consenso analitico.
Come verifico se il mio cookie banner è a norma?
Con il tool gratuito del Garante a cookie.garanteprivacy.it: inserendo l’URL scansiona i cookie installati e segnala se vengono messi prima del consenso.
Fonti
Laurea in matematica, specializzato in Linux e open source. Imprenditore a Londra, Roma e Milano. Ora costruisce siti, software e automazioni AI per PMI a Busca e in provincia di Cuneo.
La mia storia →