Quando un utente dice no al tracciamento pubblicitario, le grandi piattaforme lo ascoltano? La risposta, secondo un audit indipendente condotto a marzo 2026 dalla società di analisi forense webXray, è, nella maggior parte dei casi, no.
Indice degli argomenti
L’indagine di webXray
L’indagine, il primo California Privacy Audit di webXray, ha analizzato il traffico web di 7.634 siti popolari in California, verificando se i principali operatori dell’ecosistema pubblicitario digitale rispettano il Global Privacy Control (GPC), il meccanismo di opt-out riconosciuto dal Procuratore Generale della California come strumento per esercitare i diritti previsti dal California Consumer Privacy Act (CCPA). Il risultato complessivo: il 55% dei siti esaminati imposta cookie pubblicitari nel browser dell’utente anche dopo che questi ha attivato il segnale di rifiuto. In totale, 125.106 cookie pubblicitari piazzati nonostante l’opt-out.
A rendere l’audit particolarmente significativo è il profilo del suo autore, webXray è guidata da Timothy Libert, ex responsabile della policy e compliance sui cookie presso Google che ha lasciato l’azienda nel 2023. Intervistato da 404 Media, Libert ha raccontato che considerava il proprio ruolo come protezione degli utenti, ma che i suoi superiori la vedevano diversamente. Poco prima delle sue dimissioni, il suo diretto responsabile gli disse esplicitamente che il suo compito era proteggere l’azienda. La piattaforma webXray vanta credenziali accademiche consolidate, oltre mille citazioni nella letteratura scientifica, ed è stata utilizzata come fonte di prova in procedimenti giudiziari federali, compreso il caso In re Meta Pixel Healthcare Litigation: riguarda strutture sanitarie statunitensi che avevano installato sui propri siti web il Meta Pixel, il codice di tracciamento che Meta mette a disposizione degli inserzionisti per monitorare il comportamento degli utenti e ottimizzare le campagne pubblicitarie su Facebook. Il codice era attivo anche nelle aree riservate in cui i pazienti accedono per consultare referti e prenotare visite: quando un utente effettuava il login, il Pixel trasmetteva a Meta informazioni che ne rivelavano lo status di paziente. webXray è stata impiegata nel procedimento per identificare centinaia di strutture sanitarie coinvolte.
Come funziona l’opt-out e come viene ignorato
Il meccanismo è semplice. Quando un browser con GPC attivato si connette a un server pubblicitario, invia un’intestazione tecnica (sec-gpc: 1) che comunica: questo utente ha scelto di non essere tracciato. Il server, a norma di legge, non dovrebbe restituire cookie pubblicitari.
Nella pratica, l’audit documenta un quadro diverso. Google presenta il tasso di fallimento più alto: nell’86% dei casi, il server di Google risponde al segnale di opt-out impostando comunque un cookie pubblicitario denominato IDE, con una durata di due anni, sul dominio doubleclick.net. L’audit definisce questa non-conformità facile da individuare, nascosta in piena vista, il segnale di rifiuto viene ricevuto, ma la risposta del server lo ignora esplicitamente.
Per Microsoft, il tasso di mancato rispetto dell’opt-out è del 50%. Il server di Microsoft risponde impostando il cookie MUID, un identificatore pubblicitario della durata di un anno sul dominio bing.com, anche quando l’intestazione GPC è presente nella richiesta.
Il caso di Meta è strutturalmente diverso, per certi versi più radicale. Il tasso di fallimento è del 69%, ma la ragione non è un’implementazione difettosa, è l’assenza totale di qualsiasi controllo. Il codice del Meta Pixel, lo snippet di tracciamento che Meta chiede ai publisher di installare sui propri siti, non contiene alcun riferimento al Global Privacy Control.
Si carica incondizionatamente, attiva un evento di tracciamento e imposta un cookie indipendentemente dalle preferenze dell’utente. Come sottolinea l’audit, nel codice del Pixel non esiste nessun passaggio che verifichi se l’utente ha chiesto di non essere tracciato, nessun controllo, nessuna condizione, nessun meccanismo per rispettare la sua scelta. Il tracciamento non fallisce per un errore, semplicemente, non è stato progettato per fermarsi.
Cookie banner sotto controllo delle piattaforme
L’audit solleva poi una questione di architettura istituzionale dell’ecosistema. I cookie banner, quelle finestre che chiedono all’utente di esprimere le proprie preferenze sui cookie, sono gestiti da piattaforme chiamate Consent Management Platform (CMP). Google, che è il primo soggetto interessato al piazzamento di cookie pubblicitari, gestisce un programma di certificazione per i CMP. webXray ha testato undici CMP, tutti certificati da Google. Il risultato, undici su undici falliscono nel bloccare i cookie pubblicitari dopo l’opt-out.
Il tasso di fallimento dei tre CMP analizzati in dettaglio è rispettivamente del 77%, del 90% e del 91%. In tutti i casi, i cookie che passano attraverso il filtro fallimentare dei CMP sono cookie di Google. Il conflitto di interessi è strutturale, l’azienda che ha il maggiore interesse economico a piazzare cookie pubblicitari è la stessa che certifica gli strumenti che dovrebbero impedirle di farlo.
Le difese delle aziende e il paradosso delle sanzioni
Le tre aziende hanno contestato l’audit, ciascuna con argomentazioni diverse. Google ha definito il report basato su un fraintendimento fondamentale del funzionamento dei propri prodotti, sostenendo di rispettare l’opt-out fornito da inserzionisti e publisher come previsto dalla legge. Meta lo ha definito una manovra di marketing, precisando che il GPC limita solo alcuni usi dei dati di terze parti e che gli operatori dei siti possono sovrascrivere i segnali GPC tramite la funzione Limited Data Use. Microsoft ha affermato che la privacy dei consumatori è una priorità e che alcuni cookie sono necessari per scopi operativi e vengono impostati anche in presenza del segnale GPC. Il divario tra la semplicità della soluzione tecnica e la persistenza della non conformità illumina il problema di fondo.
Google, Meta e Microsoft hanno collettivamente pagato oltre 12 miliardi di dollari in sanzioni per violazioni della privacy: 2,3 miliardi Google, 9,3 miliardi Meta, 390 milioni Microsoft. Di queste sanzioni, una parte significativa è stata comminata da autorità europee, la CNIL francese, l’Irish Data Protection Commission, l’autorità spagnola AEPD. Eppure, il comportamento non cambia. L’audit calcola che l’esposizione aggregata potenziale, basata sulla sanzione media dei sei procedimenti esecutivi californiani per violazione dell’opt-out ($1,39 milioni), moltiplicata per i 4.170 siti che impostano cookie pubblicitari nonostante il segnale di rifiuto, ammonta a 5,8 miliardi di dollari. Una cifra teorica, certo, ma che restituisce la scala del fenomeno.
Le implicazioni per il contesto europeo
Nessun dato dell’audit riguarda direttamente l’Europa, ma le implicazioni per il contesto europeo sono immediate. Il GPC è lo stesso segnale tecnico, i CMP certificati da Google operano sui siti europei con la stessa architettura. Google, Meta e Microsoft sono gli stessi attori, con gli stessi server e la stessa logica di risposta. Se il meccanismo di opt-out fallisce sotto il CCPA californiano, una normativa che prevede sanzioni tra i 2.500 e i 7.500 dollari per violazione, la domanda su cosa accada sotto il GDPR, che contempla sanzioni fino al 4% del fatturato globale, non è speculativa: è urgente.
Non a caso, webXray ha annunciato che i prossimi audit si concentreranno su settori e regioni con leggi sulla protezione dei dati significativamente più stringenti del CCPA. Il riferimento all’Europa è trasparente. La contraddizione che l’audit illumina non è nuova, ma raramente è stata documentata con questa precisione forense. L’infrastruttura normativa, dal CCPA al GDPR, dal Digital Fairness Act al DSA, presuppone che le piattaforme rispettino i segnali di opt-out. L’audit dimostra che questo presupposto è, nella maggior parte dei casi, infondato. E che la distanza tra una riga di codice e miliardi di sanzioni è la misura esatta del fallimento dell’enforcement.
