Ricerca
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min lettura
Otto anni dopo l'entrata in vigore del GDPR, abbiamo deciso di smettere di speculare sulla conformità del consenso e di misurarla. Abbiamo puntato il nostro scanner su 97.304 siti web in 25 stati membri dell'UE e registrato esattamente cosa succede in un browser reale prima, durante e dopo il consenso. Non quello che promette la privacy policy. Non quello che riporta il pannello CMP. Quello che effettivamente si attiva nel browser quando un visitatore arriva per la prima volta su una pagina.
Nel nostro dataset, il tracciamento pre-consenso era comune: due terzi dei siti web dell'UE iniziano a tracciare i visitatori prima che avvenga qualsiasi interazione di consenso. Più della metà non mostra alcun banner di consenso. E quando i siti web offrono un pulsante di rifiuto, questo non riesce a fermare il tracciamento nell'80% dei casi. Questi non sono casi isolati o tecnicismi. Questo è lo stato di base della conformità al consenso nell'Unione Europea nel 2026.
Metodologia: Come abbiamo misurato
Prima di addentrarci nei risultati, è importante sapere come abbiamo raccolto questi dati, perché la metodologia determina se numeri come questi sono significativi o fuorvianti.
La lista dei siti web
Il nostro campione proviene dalla lista Tranco Top 1M, una classifica di domini di qualità per la ricerca prodotta combinando dati di molteplici fonti di classificazione indipendenti. Tranco è stato specificamente progettato per resistere alla manipolazione e fornire classifiche stabili per studi di misurazione web, rendendolo la fonte standard per la ricerca web su larga scala. Abbiamo filtrato i domini associati a 25 stati membri dell'UE basandoci sui TLD di codice paese e sui dati di registrazione, ottenendo 114.748 URL candidate. Di queste, 97.304 sono state completate con successo -- il resto ha fallito a causa di errori DNS, timeout di connessione o siti completamente irraggiungibili.
Cosa fa lo scanner
Ogni scansione utilizza il nostro motore di scanner di produzione: un'applicazione Go che controlla un browser Chromium headless completo tramite il Chrome DevTools Protocol. Questo non è uno scraper HTML statico o una consultazione di database di cookie. Per ogni sito web, lo scanner:
1. Avvia un'istanza Chromium pulita senza cookie memorizzati, senza archiviazione locale e senza cronologia di navigazione -- simulando un genuino visitatore per la prima volta.
2. Naviga verso l'URL target e attende il caricamento della pagina.
3. Acquisisce un snapshot pre-consenso: ogni cookie impostato, ogni richiesta di rete effettuata, ogni dominio di terze parti contattato -- tutto prima di qualsiasi interazione di consenso.
4. Tenta di rilevare il banner di consenso utilizzando una libreria che copre 45 CMP noti più euristiche generiche.
5. Interagisce con il banner (accettare o rifiutare) e registra lo stato post-interazione.
6. Per il test del flusso di rifiuto: ricarica la pagina e verifica se il rifiuto è stato rispettato o se i cookie ricompaiono.
Ogni passaggio produce prove con timestamp: inventari completi di cookie, log delle richieste di rete e screenshot. Quando diciamo che un sito web "attiva il tracciamento prima del consenso", intendiamo che abbiamo osservato effettive richieste HTTP a domini di tracciamento noti e effettivi cookie impostati nel browser -- non che lo abbiamo dedotto da un tag script nell'HTML.
Cosa significa "pre-consenso" tecnicamente
Questo è il concetto critico. Il comportamento pre-consenso è tutto ciò che accade tra il momento in cui la pagina inizia a caricarsi e il momento in cui l'utente interagisce per la prima volta con un meccanismo di consenso. In pratica, questa finestra è tipicamente di 2-5 secondi, ma su molti siti si estende ulteriormente mentre la pagina carica risorse aggiuntive. Durante questa finestra, il visitatore non ha avuto alcuna opportunità di accettare o rifiutare nulla. Ai sensi dell'Articolo 5(3) della Direttiva ePrivacy (come interpretato dal CJEU in Planet49, C-673/17), la memorizzazione di informazioni sul dispositivo di un utente o l'accesso a informazioni già memorizzate richiede il consenso preventivo -- con l'eccezione dei cookie strettamente necessari per il servizio richiesto dall'utente. Tutto ciò che non è essenziale e che si attiva durante questa finestra opera, per definizione, senza consenso valido.
Risultato 1: Il tracciamento pre-consenso è la norma, non l'eccezione
Il numero più importante di questo studio: il 68% dei siti web analizzati attiva il tracciamento di terze parti prima che l'utente abbia dato il consenso. Strettamente correlato: il 66,6% imposta cookie prima del consenso.
Queste non sono le stesse metriche. Un sito web può contattare un dominio di tracciamento di terze parti (attivare un pixel, caricare uno script) senza che quel dominio riesca a impostare un cookie -- ad esempio, se il browser blocca i cookie di terze parti. Al contrario, un cookie di analisi first-party può essere impostato senza contattare un dominio esterno. Entrambi i comportamenti sono problematici, ma rappresentano meccanismi tecnici diversi ed esposizioni legali diverse.
La portata dell'attività pre-consenso è sostanziale:
| Metrica | Valore |
|---|---|
| Media domini di terze parti contattati pre-consenso | 10,4 |
| Mediana domini di terze parti contattati pre-consenso | 6 |
| Massimo domini di terze parti contattati pre-consenso | 171 |
La mediana di 6 è probabilmente più informativa della media. La metà di tutti i siti analizzati contatta almeno sei domini esterni prima che l'utente abbia qualsiasi opportunità di consentire. Questi non sono reti di distribuzione di contenuti o server di font (che escludiamo dalla classificazione di tracciamento). Sono piattaforme pubblicitarie e servizi di analisi.
La suddivisione dell'attività pre-consenso per categoria di cookie rivela a cosa serve questo tracciamento:
| Categoria di cookie | Siti interessati | % di tutti i siti |
|---|---|---|
| Cookie di analisi impostati pre-consenso | 30.239 | 31,1% |
| Cookie di marketing impostati pre-consenso | 17.793 | 18,3% |
| Tracker pre-consenso attivi (qualsiasi tipo) | 42.904 | 44,1% |
Quasi un sito web europeo su tre imposta cookie di analisi prima del consenso. Quasi uno su cinque imposta cookie di marketing. La posizione legale è inequivocabile: l'EDPB ha confermato ripetutamente che i cookie di analisi e marketing richiedono il consenso ai sensi dell'Articolo 5(3) ePrivacy. La sentenza Planet49 del CJEU ha chiarito che il consenso deve essere un atto attivo e affermativo -- e non può essere affermativo se non è ancora avvenuto.
L'implicazione pratica è che nel momento in cui un visitatore vede un banner di cookie e considera se accettare o rifiutare, il suo browser è già stato identificato, la sua visita è già stata registrata da piattaforme di analisi e, in molti casi, il suo profilo di navigazione è già stato aggiornato da reti pubblicitarie. La scelta di consenso, quando arriva, è parzialmente retroattiva -- e il consenso retroattivo non è affatto consenso.
Risultato 2: Il divario dei banner di consenso
Più della metà dei siti web analizzati -- 53.508 su 97.304, ovvero 55% -- non mostrava alcun banner di consenso che il nostro sistema di rilevamento potesse identificare.
Questo numero richiede un'interpretazione attenta. Non tutti i siti senza banner stanno necessariamente violando la legge. Un sito web che non imposta cookie non essenziali e non contatta servizi di tracciamento di terze parti può legittimamente operare senza un meccanismo di consenso. L'esenzione ePrivacy per i cookie "strettamente necessari" significa che un sito che utilizza solo cookie di sessione per il login o la funzionalità del carrello non ha l'obbligo di consenso per quei cookie specifici.
Ma non è questo che osserviamo. Dei 53.508 siti senza banner rilevabile, 18.026 stanno attivamente impostando cookie non essenziali e contattando domini di tracciamento di terze parti. Questi siti non hanno meccanismo di consenso e stanno tracciando i visitatori dal primo caricamento della pagina. Non siamo a conoscenza di una base legale valida per questo né sotto il GDPR né sotto la Direttiva ePrivacy.
La cifra di 18.026 è il limite inferiore, non il superiore, per i siti senza banner con tracciamento.
Risultato 3: I pulsanti di rifiuto falliscono l'80% delle volte
Abbiamo dedicato un articolo separato a questo risultato, ma merita una copertura sostanziale qui perché colpisce il cuore del modello di consenso.
Dei 28.891 siti web dove abbiamo rilevato e interagito con successo con un pulsante di rifiuto, l'80,4% ha continuato il tracciamento dopo che l'utente ha cliccato rifiuta. Solo 5.650 siti (19,6%) hanno superato il test del flusso di rifiuto.
I fallimenti si suddividono in categorie sovrapposte:
| Tipo di fallimento | Siti interessati |
|---|---|
| Cookie non essenziali ancora presenti dopo il rifiuto | 10.848 |
| Servizi di tracciamento ancora attivi dopo il rifiuto | 14.547 |
| Ricomparsa del consenso rilevata (cookie ritornano dopo il ricaricamento) | 1.642 |
| Cookie individuali ricomparsi | 4.932 |
La ricomparsa del consenso è un pattern che abbiamo identificato durante questa ricerca. L'utente clicca su rifiuta, il CMP rimuove i cookie, e poi al successivo caricamento della pagina quei cookie riappaiono. Su 1.642 siti, abbiamo osservato 4.932 cookie individuali che esibivano questo comportamento.
Ai sensi dell'Articolo 7(3) del GDPR, la revoca del consenso deve essere facile quanto darlo, e il titolare del trattamento deve agire su quella revoca. Un pulsante di rifiuto che non ferma effettivamente il tracciamento non soddisfa questo requisito.
Risultato 4: Confronto paese per paese
| Paese | % Alto rischio | Punteggio di rischio medio |
|---|---|---|
| Ungheria | 58,8% | 60,1 |
| Cechia | 55,1% | 59,0 |
| Romania | 53,9% | 56,2 |
| Polonia | 53,3% | 56,1 |
| Grecia | 52,5% | 54,9 |
| Italia | 44,6% | 51,8 |
| Spagna | 44,1% | 50,2 |
| Francia | 44,1% | 49,7 |
| Paesi Bassi | 43,5% | 53,1 |
| Belgio | 42,1% | 47,4 |
| Danimarca | 42,1% | 48,3 |
| Finlandia | 40,3% | 46,4 |
| Svezia | 33,4% | 49,0 |
| Germania | 23,7% | 33,9 |
| Austria | 20,9% | 31,2 |
Il pattern si correla direttamente con l'attività di enforcement. La Germania e l'Austria -- sede del BfDI, sedici autorità di protezione dati statali e la DSB rispettivamente -- sono tra le autorità europee più attive nel mirare specificamente le violazioni di consenso e cookie. All'estremo opposto, Ungheria, Cechia, Romania e Polonia hanno autorità tipicamente sottofinanziate che hanno concentrato l'enforcement su violazioni di dati e richieste di accesso piuttosto che sul consenso ai cookie.
La Francia è istruttiva. La CNIL è stata uno degli organismi di enforcement più visibili d'Europa, eppure i siti web francesi si attestano al 44,1% di alto rischio, vicino alla media UE. La spiegazione risiede probabilmente nella strategia della CNIL: azioni ad alta visibilità contro grandi piattaforme generano titoli ma non cambiano direttamente il comportamento di migliaia di piccole e medie imprese.
Approfondiamo i dati per paese nel nostro articolo di confronto tra paesi.
Risultato 5: Quote di mercato CMP
| CMP | Siti | Quota di mercato |
|---|---|---|
| Cookiebot | 6.481 | 14,8% |
| OneTrust | 3.101 | 7,1% |
| Usercentrics | 1.820 | 4,2% |
| Complianz | 1.590 | 3,6% |
| Didomi | 1.472 | 3,4% |
| iubenda | 1.250 | 2,9% |
| Generico / non identificato | 15.179 | 34,7% |
Dei 43.796 banner rilevati:
| Caratteristica del banner | Prevalenza |
|---|---|
| Opzione di rifiuto nel primo livello | 56,3% |
| Nessuna opzione di rifiuto visibile | 19,6% |
| Incerto (interfaccia ambigua) | 24,1% |
Abbiamo anche rilevato implementazioni specifiche di dark pattern: 3.454 siti posizionavano l'opzione di rifiuto solo in un secondo livello, 84 siti impiegavano cookie wall e 137 siti mostravano evasione del consenso per bot.
Risultato 6: Abuso della durata dei cookie
La nostra scansione ha trovato 26.250 siti web (27%) con almeno un cookie che supera la soglia dei 13 mesi, comprendendo 58.127 cookie individuali in totale. La CNIL raccomanda una durata massima dei cookie di 13 mesi, uno standard che diverse altre autorità nazionali per la protezione dei dati hanno adottato o a cui hanno fatto riferimento.
Risultati aggiuntivi
Fingerprinting. Rilevato su 4.114 siti web (4,2%). Discrepanze Google Consent Mode. L'11,9% mostrava discrepanze tra lo stato di consenso riportato e il comportamento effettivo. Accessibilità. Il 25% aveva target touch sotto le dimensioni minime raccomandate, il 15,2% testo a basso contrasto, il 3,4% non era accessibile da tastiera.Distribuzione complessiva del rischio
| Livello di rischio | Percentuale |
|---|---|
| Alto rischio | 41,0% |
| Basso rischio | 27,6% |
| Rischio medio | 16,8% |
| Non conclusivo | 14,9% |
Cosa significa per i proprietari di siti web
1. Verificate cosa si carica prima del consenso. 2. Testate il vostro flusso di rifiuto end-to-end. 3. Controllate le durate dei vostri cookie. 4. Assicuratevi che il vostro banner sia accessibile e offra il rifiuto nel primo livello.Note metodologiche e limitazioni oneste
Cosa misura bene: Comportamento pre-consenso, inventari cookie, richieste di rete a domini di tracciamento noti, presenza e struttura dei banner, risultati del flusso di rifiuto e durate dei cookie. Cosa misura imperfettamente: Il rilevamento CMP non è completo al 100%. I banner dipendenti dal GeoIP possono visualizzarsi diversamente. Le applicazioni a pagina singola sono più difficili da valutare. Cosa non misura: Rivendicazioni di interesse legittimo, qualità delle privacy policy, se i registri di consenso sono correttamente archiviati.Verifica il tuo sito web. Esegui una scansione gratuita su gdprmonitor.eu e vedi esattamente cosa succede prima, durante e dopo il consenso sul tuo sito.
Controlla il tuo sito web
Esegui una scansione gratuita di conformità GDPR — nessuna registrazione richiesta.
Scansiona il tuo sito web gratuitamente