• linkedin-icon
  • twitter-icon
  • facebook-ico
  • youtube-icon
  • instagram-icon
  • Risorsa 1
TUTTI GLI ARTICOLI > Internet Media & Advertising

Cosa sono i Cookie, a cosa servono e come funzionano

Aggiornato il / Creato il / Di Denise Ronconi

Ormai sono anni che siamo circondati da cookie, acquisizione consenso, banner e informative sulla privacy. Quando navighiamo su Internet e visitiamo un sito web, ogni nostro click e interazione può trasformarsi in un cookie. Negli ultimi anni questi “biscottini” sono stati fortemente discussi, in seguito alla decisione presa dai diversi browser di far scomparire o di non utilizzare come tracker (in italiano, tracciatori) principali i cookie di terze parti.

In questo articolo, realizzato dall’Osservatorio Internet Media della POLIMI School of Management, cercheremo di approfondire e spiegare cosa sono, come funzionano e come si usano i cookie. Soprattutto, cercheremo di comprendere quali sono gli impatti e i rischi dei cookie sulla privacy degli utenti.

Cosa sono i Cookie

Prima di approfondire tematiche più tecniche sui cookie, iniziamo dando nel dettaglio una loro definizione.

I cookie (in italiano letteralmente "biscotti") possono essere definiti come veri e propri tracker del web: sono piccoli file di testo trasmessi sui dispositivi di navigazione degli utenti, che consentono a chi li ha realizzati e installati (il gestore del sito o terze parti) di memorizzare una serie di dati sui comportamenti e sulle preferenze degli utenti.

Poiché i cookie sono leggibili solo dal server web che li crea, ad ogni utente possono essere associati più cookie e questo ha portato alla nascita di milioni di “biscottini”.

Se, per esempio, andiamo su un sito di eCommerce, selezioniamo gli articoli da acquistare, interrompiamo il processo di acquisto e riapriamo il sito dopo qualche giorno, troviamo ancora il nostro carrello compilato. Questo è possibile proprio grazie alle informazioni raccolte dai cookie.

Perché si chiamano cookie

A oggi, non è chiaro come mai il concetto di biscotto e quello di cookie informatici siano stati accostati. Più chiara è, invece, la loro origine: nati circa 25 anni fa, conosciuti anche come cookie HTTP, questi prendono il nome da una tecnica informatica degli anni ’80 detta appunto “magic cookie” e molto nota in ambiente UNIX (un sistema operativo portabile dell’epoca).

A cosa servono i Cookie

Dopo aver chiarito cosa sono i cookie, passiamo, ora, a comprendere a cosa servono e come funzionano. I cookie sono usati, a oggi, per differenti finalità. In sostanza, il loro scopo principale è quello di memorizzare piccole quantità di informazioni sulla navigazione di un utente per offrirgli esperienze personalizzate.

Da un lato, dunque, i cookie servono per permettere, a chi gestisce i siti web, di personalizzare i propri contenuti in base agli interessi dei propri utenti tramite il monitoraggio delle sessioni e la memorizzazione delle preferenze. Dall'altro, lato utente, questi agevolano le operazioni di accesso e login e la fruizione dei contenuti on line. Aiutano, ad esempio, a tenere traccia degli articoli in un carrello eCommerce o delle informazioni per la compilazione di un form (modello di contatto online).

I marketing cookies per la profilazione di un utente

In ambito Marketing, i cookie possono essere impiegati per profilare un utente, cioè per "osservare" i suoi comportamenti al fine di inviargli pubblicità mirate (come nel caso del Programmatic Advertising). Non solo, però. Possono anche essere utilizzati per misurare l’efficacia di un messaggio pubblicitario e adattare di conseguenza strategie commerciali più adeguate. Si parla, in questo caso, di cookie di profilazione, tipologia che approfondiremo più avanti nel corso di questo articolo.

I Cookie sono pericolosi per la Privacy?

Se i cookie sono così utili, perché negli ultimi anni si sente dire che sono pericolosi? I cookie in sé non costituiscono un rischio, ma il modo in cui possono essere utilizzati può essere dannoso per la privacy degli utenti, un tema sempre più rilevante nel mondo del web e non solo.

La Cookie Law, emanata nel 2015, si è resa necessaria proprio per regolare la tutela degli utenti web e della loro privacy. Questa legge, infatti, fornisce le principali definizioni e obblighi in tema di acquisizione del consenso per l’uso dei cookie.

A tal proposito è bene chiarire che, per l'invio e l'accesso ai cookie, occorre il consenso libero e inequivocabile degli utenti. Questo significa che l’utente deve essere prima informato sul trattamento dei suoi dati personali, per poi poter manifestare il suo interesse ad accettare il tutto.

Il titolare del trattamento, poi, è tenuto anche a rispettare diversi obblighi e una precisa strategia, ovvero una cookie policy. In particolare, deve inserire all’interno del suo sito web un banner per il consenso e un link all’informativa estesa. Questi e altri aspetti relativi alla Cookie Law li approfondiremo successivamente all’interno di questo articolo.

Tipologie di Cookie utilizzabili

Dopo aver visto la definizione tecnica di Cookie, ora forniremo una loro definizione a livello giuridico. La Cookie Law, infatti definisce i cookie come:

"stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando".

Il testo della legge comunitaria sui cookie (Cookie Law, appunto), oltre a definire il funzionamento dei cookie, ci fornisce alcune importanti distinzioni tra le diverse loro tipologie. Innanzitutto, a seconda dell’arco di tempo per cui un tracker opera sul dispositivo di un utente. In questo caso si distingue tra:

  • cookie di sessione, cioè, cookie che durano finché non viene chiuso il browser e termina la sessione;
  • cookie permanenti, che, invece, continuano a operare anche dopo la chiusura del browser e la fine della sessione.

È possibile, inoltre, andare a più fondo e classificare le “piccole stringhe di testo” memorizzate nei nostri dispositivi anche in funzione di quella che è la loro finalità di utilizzo e la loro proprietà.

I tipi di Cookie esistenti

Dopo aver visto quali sono le tipologie di cookie utilizzabili, passiamo ora ad approfondire le diverse tipologie di cookie. In base alle finalità perseguite da chi utilizza i cookie, i “biscotti” possono essere classificati in tre categorie: cookie tecnici, cookie analitici e cookie di profilazione. Vediamo ora nel dettaglio queste tipologie di cookie.

Cookie tecnici

I cookie tecnici, installati direttamente dal titolare o gestore del sito web, permettono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, ma anche memorizzare alcune informazioni (ad esempio gli articoli in un carrello eCommerce). Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure (attività di home banking, per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili).

Includono cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (es. per realizzare un acquisto o accedere ad aree riservate), e cookie di funzionalità, che permettono all’utente di navigare secondo alcuni criteri selezionati (es. lingua) al fine di migliorare il servizio reso.

Cookie analitici

I cookie analitici possono essere realizzati e installati dal gestore del sito o da terze parti e servono a monitorare l’uso del sito da parte degli utenti. Vengono anche definiti “statistici” vista la loro specifica funzione di analisi e monitoraggio.

All’interno del testo normativo, i cookie analitici vengono definiti come una particolare categoria di cookie tecnici quando raccolgono dati anonimi in forma aggregata, usati solo dal gestore del sito per finalità di ottimizzazione e studio delle pagine visitate. Possono verificarsi, però, anche situazioni di cookie ibridi, in cui i dati sono raccolti per finalità di analisi, ma attraverso uno strumento terzo (è il caso di Google Analytics o altri software di monitoraggio web).

Cookie di profilazione

I cookie di profilazione servono a tracciare la navigazione dell’utente, analizzare il suo comportamento per finalità di Marketing e creare profili in base ai suoi gusti/abitudini, in modo da proporre messaggi pubblicitari mirati in linea con i suoi interessi e con le sue preferenze manifestate durante la navigazione, misurare l’efficacia del messaggio pubblicitario e adottare conseguenti strategie commerciali.

Cookie di prima parte vs Cookie di terze parti

Esistono due tipologie di cookie anche in base al soggetto che li installa sul dispositivo dell’utente: i first party cookies e i third party cookies.

I cookie di prima parte sono creati e impostati dai proprietari del dominio del sito web che l’utente sta visitando, solitamente si tratta di cookie tecnici utili per il funzionamento del sito.

I cookie di terze parti, invece, creati da domini differenti da quello in cui l’utente sta navigando, sono utilizzati per il tracciamento cross-site, il retargeting, la profilazione degli utenti e il matching degli ID degli utenti tra diverse piattaforme.

Negli ultimi anni sempre più operatori, come vedremo nel corso della guida, hanno deciso di eliminare i cookie di terze parti per il tracciamento degli utenti online dai propri browser. Si attende la decisione di Google che posticipato ulteriormente al 2024 il blocco dei cookie di terze parti dal suo browser Chrome.

Questa decisione potrebbe portare verso la fine dell’era dei cookie come oggi noi la conosciamo generando importanti conseguenze per tutto l’ecosistema di marketing e comunicazione, che negli ultimi anni ne ha fatto larghissimo utilizzo. Quando si parla di un futuro cookieless, pertanto, è proprio ai cookie di terze parti a cui si fa riferimento. Per il momento i cookie di prima parte potranno ancora essere utilizzati all’interno dei principali browser (ad eccezione di Safari).

Normativa Cookie: legge e linee guida per l'uso dei Cookie

Come già ampiamente descritto, i cookie possono rappresentare un rischio concreto per la privacy degli utenti. Per tale motivo l’utilizzo di questi tracker è sempre più soggetto a normative e ad autoregolamentazioni delle grandi società tecnologiche – in ultimo Google Chrome – con l’obiettivo di tutelare la privacy.

Cookie Law in Italia

La Cookie Law, promulgata dal Parlamento Europeo nel maggio del 2011, prevede che i siti web chiedano agli utenti il permesso di registrare i loro cookie durante la navigazione sul sito stesso. Il primo provvedimento italiano sulle modalità di utilizzo dei cookie da parte degli operatori Internet è stato emanato nel maggio 2014 dal Garante per la Protezione dei Dati Personali, recante l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie.

La regolamentazione prende spunto dalla normativa italiana vigente in materia di trattamento dei dati personali (articolo 122 del Codice della Privacy). L’obiettivo del Garante è quello di consentire agli utenti di esprimere scelte realmente consapevoli sull'installazione dei cookie mediante la manifestazione di un consenso espresso e specifico, senza penalizzare l’esperienza di navigazione degli stessi utenti.

La normativa è stata recentemente aggiornata dal Garante, attraverso l’emanazione di nuove linee guida.

Cosa prevedono le nuove linee guida sui Cookie

Il Garante per la protezione dei dati personali ha approvato le nuove linee guida sui cookie del 10 giugno 2021 e applicabili dal 10 gennaio 2022, ad aggiornamento delle precedenti disposizioni datate 2014. L'obiettivo del Garante è quello di rafforzare il potere decisionale degli utenti riguardo all’uso dei loro dati personali quando navigano online.

Le linee guida del Garante normano la modalità di raccolta dei consensi, in particolare per quanto concerne i cookie di profilazione, siano essi di prima parte o terze parti. Alla base delle nuove linee guida si colloca la necessità di predisporre un quadro rafforzato di tutele per rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo utente.

Le regole per il consenso ai Cookie

L'utente deve poter rifiutare il consenso con la stessa facilità con la quale può accettare. Inoltre, a seguito del rifiuto il sito non dovrebbe ripetere ogni volta la richiesta di consenso, ma conservare la scelta per almeno sei mesi. In sintesi, il meccanismo di acquisizione del consenso online prescritto dal Garante si fonda sui seguenti quattro obblighi fondamentali

  • Obbligo di non installare alcun tipo di cookie diverso dai cookie tecnici
    Il titolare del sito web deve garantire che, per impostazione predefinita, al momento del primo accesso ad un sito, nessun cookie o altro strumento diverso da quelli “tecnici” venga posizionato all’interno del dispositivo dell’utente, e che non venga utilizzata un'altra modalità di tracciamento.
  • Obbligo di informativa breve - Cookie o Consent Banner
    Nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve comparire immediatamente un banner contenente una prima informativa "breve", la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più "estesa". Inoltre, se un utente cliccherà sulla “X” del banner (o sul tasto "rifiuta tutti i tracciamenti" o qualcosa di equivalente) esprimerà la decisione di non essere tracciato e tale scelta rimarrà valida per sei mesi durante i quali gli operatori non potranno utilizzare le sue informazioni.
  • Obbligo di informativa estesa - Cookie Policy
    In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie e scegliere quali specifici cookie autorizzare.
  • Notifica del trattamento al Garante per la Protezione dei dati Personali

Questi obblighi valgono sempre per l’installazione dei cookie di profilazione, mentre non sono richiesti per i cookie tecnici e analitici, per i quali è comunque sempre necessario fornire l’informativa estesa. È il titolare del sito web che installa i cookie di profilazione a dover fornire l’informativa e richiedere il consenso.

Come realizzare un Cookie banner

Secondo il Garante, un cookie banner conforme deve essere visibile fin quando l’utente non esprime la sua preferenza e contenere una serie di tasti e indicazioni essenziali:

  • un tasto per rifiutare i cookie di profilazione già nel primo livello autorizzativo (es. una “X” in alto a destra);
  • un’informativa breve con indicazioni sulle tipologie di cookie utilizzati;
  • l’indicazione che i cookie di profilazione, se utilizzati, saranno installati solo previo consenso dell’utente;
  • un link all’informativa privacy in versione estesa, che sia accessibile con un solo click;
  • un link per la gestione delle preferenze, dove selezionare le funzionalità, le terze parti (il cui elenco deve essere regolarmente aggiornato) e i cookie al cui utilizzo l’utente decide di acconsentire;
  • un comando per esprimere il proprio consenso(es. un tasto “Accetto”), accettando il posizionamento di tutti i cookie.

Più in generale, non possono invece ritenersi conformi alla normativa i banner che influenzino le scelte degli utenti, ad esempio “nascondendo” il pulsante per il rifiuto dei cookie di profilazione in un’altra area o pagina, dato che spesso gli utenti, per evitare la c.d. “banner fatigue”, preferiscono accettare tutti i cookie subito pur di non effettuare ulteriori click.

Il banner non deve riproporsi costantemente a ogni accesso: l'utente che accede allo stesso sito dopo aver fatto la sua scelta (accettazione o rifiuto ai cookie) non dovrebbe rivedere il banner per almeno sei mesi. Tuttavia, deve sempre essere presente un link di Impostazione Cookie che consenta agli utenti di rivedere i consensi eventualmente concessi.

Cosa deve contenere la Cookie policy

La cookie policy, raggiungibile dunque da link in banner, contiene l’informativa estesa con cui vengono descritte nel dettaglio le caratteristiche e le finalità dei cookie installati dal sito.

L'informativa estesa deve contenere tutti gli elementi previsti dall´art.13 del GDPR in materia di informativa privacy e consentire all'utente di selezionare/deselezionare i singoli cookie.

Le restrizioni all'uso dei Cookie

Non è soltanto la normativa a limitare l’utilizzo dei biscottini. La crescente richiesta degli utenti di una maggiore trasparenza sull’utilizzo dei loro dati sul web ha spinto i player del settore a correre ai ripari. Uno dei principali fenomeni che ha fatto scaturire questa nuova consapevolezza negli utenti è stato lo scandalo Facebook-Cambridge Analytica del 2018, quando fu rivelato che Cambridge Analytica aveva raccolto i dati personali di 87 milioni di utenti Facebook senza il loro consenso per fare propaganda politica.

In questo contesto i browser – alcuni già da qualche anno – hanno dovuto prendere importanti decisioni per limitare l’utilizzo dei cookie.

Le limitazioni dei browser

Nel 2017 Safari ha bloccato di default i cookie di terze parti e imposto limitazioni ai cookie di prima parte, utilizzando un sistema di ITP (Intelligent tracking prevention) basato su algoritmi che identificano i comportamenti di tracciamento. Nel 2019 Firefox ha imposto il blocco dei cookie di terze parti, mentre da gennaio 2020 Edge permette agli utenti di scegliere fra tre livelli di protezione, con la possibilità di gestire quindi in autonomia le autorizzazioni concesse ai siti.

Ma il browser che fa realmente la differenza è Google Chrome, detenendo una quota del mercato pari al 70%. Il colosso di Mountain View aveva dichiarato di voler eliminare il tracciamento dei cookie di terze parti entro il 2022, scadenza più volte rinviata (prima al 2023 e successivamente alla seconda metà del 2024) prima di fare definitivamente marcia indietro e decidere di non procedere più in questa direzione. I cookie di terze parti rimarranno all’interno di Google Chrome, ma non saranno il sistema di tracciamento principale e saranno soggetti ad utilizzo solo su approvazione da parte dell’utente.

Per questo motivo, i player della filiera pubblicitaria sono comunque chiamati a prepararsi, implementando soluzioni alternative, dal momento che la direzione dell’industry è decisa: un tracciamento che non si basi sui famosi biscottini ma sempre più rispettoso della privacy dell’utente.

I Cookie nella Pubblicità

Per oltre un quarto di secolo, l’advertising online ha basato le proprie attività data-driven sull’utilizzo dei cookie. Nel corso del tempo questi tracker del web hanno permesso ai siti di acquisire una quantità sempre più ampia di informazioni sugli utenti e sulle attività che compiono all’interno delle pagine online.

La possibile eliminazione dei cookie di terze parti ha aperto uno scenario (che possiamo definire cookieless) potenzialmente problematico per diversi protagonisti della filiera pubblicitaria. Sebbene il dietrofront di Chrome sui cookie abbia allentato la pressione sulle tempistiche, resta comunque molto da fare per adeguare le proprie attività a un mercato sempre più privacy-oriented.

Tra gli operatori del settore Digital Advertising, i player di terze parti – principalmente Data Management Platform (DMP) e Data Company – sono gli attori più coinvolti dallo scenario di progressivo abbandono dei cookie. Infatti, le DMP basano le loro attività proprio sul cookie sync (mappatura degli utenti tramite ID univoci da un sistema all’altro), mentre per le Data Company i cookie di terze parti sono una delle fonti principali per la raccolta dati.

Gli investitori pubblicitari dovranno comunque adattarsi a uno scenario sempre più orientato alla privacy, preparandosi a nuove modalità di tracciamento per attività come il retargeting e il prospecting. Questo cambiamento implica un ripensamento delle strategie per continuare a raggiungere gli obiettivi di targeting in un contesto in cui l’accesso ai dati sta evolvendo. Anche gli editori saranno interessati, poiché una parte significativa delle loro entrate online deriva da collaborazioni con attori di terze parti che raccolgono dati tramite le loro piattaforme.

Gli Over The Top (OTT), i grandi player internazionali che dominano l’advertising online, si trovano in una posizione mista. Pur operando in ecosistemi chiusi (walled garden) che consentono un utilizzo trasparente dei dati all'interno della loro piattaforma, potrebbero comunque subire impatti dalle limitazioni sul tracciamento cross-site. Amazon, ad esempio, potrebbe affrontare sfide nella pianificazione di campagne comportamentali, mentre Facebook potrebbe incontrare difficoltà con il tracciamento in app. Tuttavia, grazie alla loro leadership e alla disponibilità di dati di qualità su ampia scala, è plausibile che questi attori riescano a rafforzare il loro ruolo nell’ecosistema pubblicitario.

Google, con il suo approccio full-stack lungo l’intera filiera pubblicitaria, continuerà a beneficiare di una visione completa sul percorso online degli utenti. La sua decisione di mantenere i cookie di terze parti potrebbe ulteriormente consolidare la sua posizione dominante nel settore.

Internet senza Cookie? La "ricetta" dell'Osservatorio Internet Media

È possibile immaginare un Internet senza Cookie? La risposta è (quasi) affermativa. Non mancano infatti le soluzioni alternative ai cookie di terze parti.

L'Osservatorio Internet Media, infatti, ha individuato le diverse possibilità alternative ai cookie per gli obiettivi di profilazione utenti, tracciamento e misurazione. Possiamo classificarle in tre macrocategorie: soluzioni di identità, contextual advertising e altre soluzioni AI-based. Tutte soluzioni che abbiamo approfondito nella nostra guida al mondo cookieless.

In generale, il crescente orientamento alla privacy da parte del mercato, porterà gli operatori della filiera pubblicitaria a dover contare su una minore quantità di dati, che dovranno invece essere di maggiore qualità. In seguito a questo fenomeno si delinea un contesto in cui le aziende sono sempre più propense a sviluppare una vera e propria cultura del dato, in modo da non farsi trovare impreparate in un futuro in cui grandi quantità di dati sugli utenti non saranno più accessibili.

Programma-tematico-bianco

  • Autore
Denise Ronconi

Direttore dell'Osservatori Internet Media e Senior Advisor dell'Osservatorio eCommerce B2c

Ricerca nel blog

    Inserisci qui la tua email

    Potrebbe interessarti

    21 set 2023
    Cos'è una Fake News e come difendersi dalla disinformazione online
    17 mag 2023
    Come funziona il Programmatic Advertising: esempi e mercato
    19 mar 2024
    Cosa sono i Cookie, a cosa servono e come funzionano
    19 mar 2024
    Addressable TV, cos'è e principali formati: alcuni esempi
    1 lug 2022
    Digital Advertising: significato, formati e strategie

    Articoli più letti

    7 mag 2024
    ChatGPT, cos’è e come funziona: limiti e opportunità
    23 apr 2024
    Storia dell’Intelligenza Artificiale: da Turing ai giorni nostri
    17 apr 2023
    Cos'è il Natural Language Processing (NLP) e come funziona
    12 apr 2024
    Le applicazioni dell’Intelligenza Artificiale e la loro diffusione
    3 giu 2024
    Cos'è il Social Engineering, come difendersi e come riconoscerlo