Due recenti provvedimenti, uno del Garante per la privacy italiano, l’altro del Garante austriaco per la protezione dei dati personali hanno riacceso l’attenzione su un tema spesso sottovalutato: la gestione del consenso ai cookie.

In Italia, se si confrontano le Linee guida del Garante del 2021 con la realtà di molti siti web, anche della pubblica amministrazione, emerge un dato preoccupante: il banner dei cookie è spesso non conforme. Non che nel resto d’Europa vada meglio: CookieMetrix, uno strumento di analisi online che permette di verificare in tempo reale se un sito è conforme alla normativa europea ha condotto diversi test su campioni di siti italiani ed europei. Ebbene, questi test hanno dimostrato che una percentuale significativa (stimata tra il 60% e l’80%) dei siti analizzati presenta almeno una criticità, come mancanza di opzione per rifiutare i cookie, cookie installati prima del consenso e informative non trasparenti o assenti

In questo articolo ripercorriamo le regole fondamentali, analizziamo due casi emblematici e proponiamo una checklist utile per verificare la compliance del proprio sito.

📌 Cookie Law e conformità: un quadro europeo da non sottovalutare

La cosiddetta Cookie Law non è una singola norma, ma un insieme di disposizioni europee e nazionali che regolano l’uso dei cookie e di altri strumenti di tracciamento. Le principali fonti normative includono:

• La Direttiva ePrivacy (2002/58/CE), modificata nel 2009.
• Il Regolamento Generale sulla Protezione dei Dati (GDPR) – Reg. UE 2016/679

E, per l’Italia:

• Il Codice Privacy italiano (D.lgs. 196/2003), aggiornato dal D.lgs. . 101/2018.
• Il Provvedimento del Garante del 10 giugno 2021, che ha definito le linee guida italiane sui cookie.

A livello europeo, il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato documenti di indirizzo fondamentali, tra cui le Linee guida n. 5/2020 sul consenso, che chiariscono come quest’ultimo debba essere raccolto in modo libero, specifico e informato.

Anche altri Paesi hanno adottato linee guida simili. Giusto per fare qualche esempio:

• In Francia, la CNIL ha pubblicato regole dettagliate sull’uso dei cookie, con sanzioni già comminate a grandi piattaforme. La CNIL richiede che il consenso ai cookie sia libero, specifico e facilmente revocabile. I banner devono offrire un’opzione chiara per rifiutare i cookie, come un pulsante “Rifiuta tutto”. È vietato installare cookie non essenziali prima del consenso, e il consenso deve essere equilibrato, cioè facile sia da accettare che da negare
• In Germania, il BfDI ha recepito le indicazioni europee, con particolare attenzione alla trasparenza e alla granularità del consenso. Il BfDI stabilisce infatti che il consenso deve essere informato, volontario e revocabile in qualsiasi momento. I cookie banner devono permettere una scelta reale, con pulsanti equivalenti per accettare o rifiutare. Le cosiddette “cookie walls” sono ammesse solo se esiste una vera alternativa all’accesso gratuito, come un abbonamento
• In Austria, la DSB applica la sezione 165 del TKG 2021, che recepisce la Direttiva ePrivacy. I cookie tecnicamente non necessari possono essere installati solo previo consenso esplicito. Il banner deve essere chiaro e non deve installare cookie prima della scelta dell’utente. La DSB ha anche sanzionato il modello “Pay or Okay” per violazione del GDPR, ritenendo che non garantisca un consenso libero

Questa varietà di approcci conferma che la conformità al trattamento dei dati tramite cookie è una priorità condivisa a livello europeo, ma anche che le organizzazioni devono prestare attenzione alle specificità nazionali.

📌 Le Linee guida del Garante italiano del 2021: cosa prevedono

Per quanto riguarda l’Italia, come abbiamo detto, il Garante per la protezione dei dati personali ha pubblicato il 10 giugno 2021 le Linee guida sui cookie e altri strumenti di tracciamento, con l’obiettivo di garantire una raccolta del consenso realmente libera, informata e specifica. Queste linee si applicano a tutti i soggetti che utilizzano tecnologie di tracciamento, sia pubblici che privati.

I principali obblighi introdotti sono:

• Banner trasparente e non ingannevole, con opzioni equivalenti per accettare, rifiutare o personalizzare i cookie.
• Divieto di scrolling o navigazione come forma implicita di consenso.
• Obbligo di ripresentare il banner se l’utente non ha espresso una scelta.
• Informativa estesa facilmente accessibile, che specifichi finalità, categorie di cookie, destinatari e tempi di conservazione.
• Cookie tecnici installabili senza consenso, ma devono essere descritti chiaramente.
• Cookie di profilazione e analytics richiedono consenso esplicito, salvo quelli anonimizzati e aggregati.

Il consenso deve essere granulare, cioè l’utente deve poter scegliere quali categorie di cookie accettare. Inoltre, deve essere revocabile in qualsiasi momento, con meccanismi semplici.

Le sanzioni per la mancata conformità possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, come previsto dal GDPR. Il Garante ha chiarito che anche il solo mancato aggiornamento del banner può costituire violazione

⚖️ Due provvedimenti che fanno scuola

Come abbiamo accennato nell’introduzione, quest’estate sono stati applicati due provvedimenti che riguardano proprio l’utilizzo dei cookie. Questi casi dimostrano come la non conformità non sia più tollerata e possa comportare conseguenze economiche e reputazionali significative.

Il primo riguarda la società italiana Confalonieri S.r.l., sanzionata dal Garante Privacy con il provvedimento n. 327 del 4 giugno 2025. A seguito di accertamenti condotti dalla Guardia di Finanza, è emerso che il sito web dell’azienda presentava un banner cookie non conforme: non offriva una scelta chiara e bilanciata tra accettazione e rifiuto, non permetteva un consenso granulare e conteneva riferimenti normativi superati. Inoltre, l’informativa sulla privacy risultava obsoleta e priva di indicazioni sui destinatari dei dati. Per queste violazioni, il Garante ha comminato una sanzione amministrativa di 40.000 euro.

Il secondo caso arriva dall’Austria, dove il quotidiano DerStandard è stato oggetto di una decisione della DSB (Autorità austriaca per la protezione dei dati), confermata dal Tribunale Amministrativo Federale. Il giornale aveva adottato il controverso modello “Pay or Ok”, che imponeva agli utenti una scelta tra accettare il tracciamento pubblicitario o pagare un abbonamento mensile di €9,90. Secondo la DSB, questo meccanismo non garantiva un consenso libero e granulare, come richiesto dal GDPR, ma piuttosto una “scelta fittizia”. Il tribunale ha ritenuto il modello non conforme e ha respinto il ricorso del quotidiano, aprendo la strada a una possibile escalation del caso fino alla Corte di Giustizia dell’Unione Europea.

A seguito di questa vicenda, anche il Garante italiano ha avviato una consultazione pubblica per valutare la liceità del consenso raccolto tramite modelli simili, in particolare nel settore editoriale. L’obiettivo è chiarire se il “Pay or Ok” possa essere considerato compatibile con il principio di libertà del consenso previsto dal GDPR

🛡️ Navigare sicuri: consigli pratici per utenti e organizzazioni

Quello dei cookie è quindi un argomento da non sottovalutare, sia per chi gestisce i siti, sia per gli utenti.

Per questi ultimi ecco qualche consiglio per evitare di cedere inconsapevolmente i propri dati:

• Controlla il banner: deve offrire scelte chiare e non forzate.
• Leggi l’informativa cookie: verifica chi riceve i tuoi dati e per quali scopi.
• Usa browser con protezioni avanzate o estensioni anti-tracciamento.
• Non cliccare “Accetta tutto” senza sapere cosa stai accettando.

Per le organizzazioni, è invece fondamentale effettuare un audit del proprio sito e verificare la conformità del banner e dell’informativa pena, come abbiamo visto, sanzioni che incidono sul bilancio e la reputazione dell’organizzazione stessa

📣 Attenzione: la privacy non è un optional

Come avete potuto capire, la gestione corretta dei cookie non è solo un obbligo normativo, ma un segnale di rispetto verso utenti e clienti. Se sei un’organizzazione e vuoi verificare se il tuo sito è conforme, offro consulenze specializzate per aiutarti a metterti in regola. Visita il mio sito per scoprire tutti i servizi disponibili e contattami per una prima valutazione.

Il 16 ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo n. 138 del 4 settembre 2024 che a sua volta recepisce la Direttiva Europea 2022/2555, ovvero la NIS2, una normativa, appunto, europea che mira a rafforzare la cybersicurezza degli Stati membri, imponendo misure più stringenti per la protezione delle infrastrutture critiche e dei servizi essenziali. È stata adottata per migliorare la resilienza delle organizzazioni lavorative e delle istituzioni contro le minacce informatiche, ampliando il numero di settori coinvolti rispetto alla precedente direttiva NIS 

La cosiddetta cybersicurezza è un ambito sempre più sensibile in un mondo dove si stanno sviluppando sistemi di intelligenza artificiale e infrastrutture informatiche indispensabili ma che portano con sé anche una serie di criticità cui la nuova Direttiva vuol far fronte 

Di cosa si tratta nel concreto? Ve lo spiego qui sotto 

Buona lettura! 

 

INDICE 

1. Le tappe della NIS2 
2. Gli adempimenti della NIS2
3.  Organizzazioni soggette alla NIS2
4.  Impatti e sfide 
    

1. Le tappe della NIS2 

Come detto all’inizio, il Decreto di recepimento della NIS 2 è stato pubblicato nel nostro Paese il 16 ottobre 2024, tuttavia questa Direttiva ha una storia più lunga, sia prima, sia successivamente alla pubblicazione. L’evoluzione della direttiva NIS2, infatti, ha radici profonde nella crescente necessità di rafforzare la cybersicurezza in Europa. Tutto ha avuto inizio con la prima direttiva NIS, adottata nel 2016, che ha segnato un passo importante nella regolamentazione della sicurezza delle reti e dei sistemi informativi. Tuttavia, con l’aumento degli attacchi informatici e la digitalizzazione sempre più pervasiva, si è reso evidente che le misure introdotte non erano sufficienti a garantire una protezione adeguata.  

Nel 2020, l’Unione Europea ha avviato il processo di revisione della normativa, con l’obiettivo di superare i limiti della Direttiva originale e creare un quadro giuridico più solido e uniforme. Dopo un lungo iter legislativo, la Direttiva NIS2 è stata approvata a fine 2022, imponendo agli Stati membri l’obbligo di recepirla entro ottobre 2024 

Per l’Italia la pubblicazione in Gazzetta Ufficiale segna l’inizio di un iter che porterà le organizzazioni lavorative coinvolte ad applicare nel concreto la Direttiva alle proprie realtà e attività:  

• entro il 31 dicembre 2024, organizzazioni e pubbliche amministrazioni erano tenute a svolgere un assessment per comprendere se fossero o meno soggette agli obblighi della Direttiva NIS2 

• tra il 1° gennaio e il 28 febbraio 2025, i soggetti che ritenevano di rientrare nei parametri di applicazione della NIS2 avrebbero dovuto registrarsi sulla piattaforma digitale resa disponibile da ACN (Agenzia per la Cybersicurezza Nazionale) la quale entro il 15 aprile 2025 avrebbe dovuto comunicare agli interessati l’inserimento nell’elenco dei soggetti essenziali o importanti 

• tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa. 

• chiusa questa fase preliminare, i soggetti che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel Decreto 

Ma quali sono questi “adempimenti previsti dal Decreto”? 

 

2. Gli adempimenti della NIS2 

Come accennato nel paragrafo precedente, la direttiva NIS 2 impone obblighi più stringenti in materia di cybersicurezza per organizzazioni che operano in settori critici, con l’obiettivo di rafforzare la protezione contro le minacce informatiche. In particolare, questi obblighi riguardano: 

• gestione del rischio per prevenire e mitigare attacchi informatici: le organizzazioni sono chiamate ad adottare strategie proattive per identificare e mitigare le vulnerabilità dei loro sistemi informatici. Questo include l’implementazione di misure tecniche e organizzative per proteggere dati e infrastrutture critiche, come il monitoraggio continuo delle minacce e la definizione di piani di risposta agli incidenti 

• segnalazione tempestiva degli incidenti alle autorità competenti: in caso di attacco informatico o violazione della sicurezza, le organizzazioni devono notificare l’accaduto alle autorità competenti entro tempi definiti (generalmente entro 24 ore per la prima comunicazione e un report dettagliato entro 72 ore) 

• sicurezza della supply chain: le organizzazioni devono garantire che anche i loro fornitori rispettino elevati standard di cybersicurezza. Questo significa verificare l’affidabilità dei partner commerciali, valutare il rischio derivante da terze parti e imporre requisiti di sicurezza negli accordi contrattuali. 

• designazione dei responsabili e formazione: le organizzazioni devono identificare figure dedicate alla gestione della sicurezza informatica, con ruoli chiari e competenze specifiche. Inoltre, è richiesta una formazione continua del personale per garantire che tutti i dipendenti siano consapevoli delle best practice e delle minacce informatiche. 

• adeguamento ai nuovi standard: le organizzazioni devono conformarsi a requisiti di sicurezza più stringenti, con audit e controlli periodici per valutare l’efficacia delle misure adottate. In caso di mancata conformità, la direttiva prevede sanzioni severe, che possono includere multe significative e altre restrizioni operative 

Gli adempimenti sono sicuramente onerosi in termini di tempo e di risorse, ma nel nostro Paese l’ACN ha dato un po’ di tempo per adeguarsi, ovvero 18 mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, mente il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi è di 9 mesi dalla stessa comunicazione 

 

 In questo paragrafo abbiamo parlato genericamente di organizzazioni, ma in realtà non tutte avevano l’obbligo di iscriversi al portale ACN e probabilmente non tutte quelle che lo hanno fanno rientreranno dei parametri di inclusione alla Direttiva. Quali sono dunque i criteri di inclusione? 

 

3. Organizzazioni soggette alla NIS2 

Come abbiamo accennato, la NIS2 è una sorta di evoluzione della precedente Direttiva NIS del 2016, e, tra i vari aggiornamenti, oltre ai nuovi obblighi per le organizzazioni, che abbiamo descritto nel paragrafo precedente, spicca l’ampliamento abbastanza significativo del campo di applicazione: se nel 2016 risultavano coinvolti circa 6.000 soggetti in tutta Europa, principalmente appartenenti a settori critici come energia, trasporti, sanità e finanza, con l’entrata in vigore della NIS2 il numero di organizzazioni interessate è aumentato notevolmente, arrivando a coinvolgere circa 20.000 soggetti. Questo ampliamento è dovuto all’inclusione di nuovi settori, come la gestione dei rifiuti, l’industria chimica, alimentare e manifatturiera, oltre a fornitori di servizi digitali e pubbliche amministrazioni. Ad oggi i settori coinvolti sono 18 di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione) per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti: 

• Enti Essenziali: comprendono infrastrutture strategiche come energia, trasporti, sanità, servizi finanziari, amministrazioni pubbliche e telecomunicazioni. Questi soggetti devono rispettare requisiti di cybersicurezza più rigorosi, poiché un attacco informatico contro di loro potrebbe avere un impatto significativo sulla società o sull’economia. 

 Enti Importanti: includono settori come fornitori di servizi digitali, gestione rifiuti, industria chimica, alimentare e manifatturiera. Sebbene non siano considerati critici al pari degli enti essenziali, devono comunque adottare misure di sicurezza adeguate per prevenire rischi informatici 

Ma l’appartenenza ad uno specifico settore non determina da solo l’applicabilità o meno della NIS2 ad un’organizzazione: quest’ultima, infatti, per rientrare nei criteri deve rientrare fra le medie o grandi imprese, salvo eccezioni legate alla criticità dei servizi forniti, cioè avere almeno 50 dipendenti e un fatturato o bilancio annuo superiore ai 10 milioni di euro. 

Se la tua organizzazione rientra in questi parametri e quindi è soggetta all’obbligo di ottemperare alle NIS2 i passi da fare saranno forse dispendiosi in termini di risorse e tempo, ma indispensabili per affrontare le nuove sfide che la Direttiva porta con sé. 

 

4. Impatti e sfide 

L’adozione della Direttiva NIS 2 porta con sé importanti impatti per le organizzazioni, imponendo un rafforzamento della sicurezza informatica e un miglioramento della resilienza digitale. Le organizzazioni coinvolte dovranno investire in sistemi avanzati di protezione, garantendo una gestione più strutturata del rischio cyber. Questo comporta una maggiore consapevolezza sulle minacce informatiche e l’adozione di tecnologie più sofisticate, come strumenti di monitoraggio e sistemi di risposta automatizzata agli attacchi. 

L’adeguamento alla Direttiva presenta anche sfide significative prima fra tutte una revisione delle strategie digitali e una nuova modalità di collaborazione più stretta con fornitori e partner, per garantire la sicurezza della supply chain. Ci sarà infine da affrontare l’incremento dei costi, poiché la conformità alle nuove regole richiede investimenti significativi in infrastrutture. 

Tuttavia, le difficoltà sono ben bilanciate dai benefici che una gestione della NIS2 a prova di Direttiva porta con sé: 

• maggiore protezione dagli attacchi informatici 

• semplificazione normativa per le organizzazioni che operano in più Paesi europei 

• migliore gestione del rischio 

• collaborazione più efficace tra pubblico e privato 

• tutela dei dati e della supply chain 

• riduzione dei costi legati a interruzioni operative, danni reputazionali e possibili sanzioni 

• aumento della competitività 

• ottimizzazione dei processi 

La tua organizzazione rientra nella NIS2? Hai già intrapreso il percorso per ottemperare alla nuova Direttiva? Se hai bisogno di un supporto contattami e vediamo come posso esserti utile!