Cosa deve fare un cookie banner per essere conforme?

Tre cose: 1) bloccare gli script di tracking prima del consenso (no preflight di GA4 o Meta Pixel), 2) offrire una scelta granulare (accetta tutto, rifiuta tutto, personalizza) con pulsanti pari rilievo, 3) registrare il consenso in modo verificabile (log dei consensi). I banner che non bloccano preventivamente o che non offrono il rifiuto con la stessa enfasi dell'accetta sono già fuori norma.

Iubenda, CookieYes, Complianz: quale scegliere?

Iubenda è il più diffuso in Italia, ottima documentazione legale e privacy policy generata automaticamente; piano a pagamento per le funzioni avanzate. CookieYes ha un piano gratuito utile per siti piccoli, interfaccia semplice. Complianz è più tecnico ma con focus forte sulla compliance EU e plugin gratuito ricco. Per un sito business italiano, Iubenda è la scelta standard.

Devo aggiornare la cookie policy ogni volta che cambio un plugin?

Sì, in linea di principio: se aggiungi un nuovo strumento che usa cookie (un nuovo pixel, una mappa, un video embed), va dichiarato nella cookie policy. I servizi come Iubenda fanno scansioni periodiche del sito e segnalano nuovi cookie da aggiungere. Senza scansione automatica, è facile dimenticare di aggiornare la policy: il rischio è una policy non veritiera, contestabile.

Cos'è il Consent Mode v2 e devo abilitarlo?

È un sistema di Google che permette ai tag Google (GA4, Ads) di funzionare in modalità ridotta prima del consenso e in modalità piena dopo. Migliora il tracking statistico mantenendo la conformità. Dal 2024 è consigliato per chi usa Google Ads: senza Consent Mode v2, alcune funzioni del remarketing e del bid sono limitate. I principali banner italiani lo supportano in pochi click.

Configurare il cookie banner GDPR in WordPress: guida pratica

Il cookie banner è una di quelle cose che il cliente vorrebbe non avere, ma che non può evitare. Le linee guida del Garante per la protezione dei dati personali aggiornate negli ultimi anni, insieme alle linee guida europee EDPB, hanno reso più chiaro cosa serve davvero: blocco preventivo dei tracker, scelta granulare con pulsanti pari, log dei consensi, possibilità di revoca.

Tradurre tutto questo in WordPress richiede un buon banner e qualche minuto di configurazione. In questa guida vediamo le tre soluzioni più usate dai nostri clienti, come configurarle e cosa controllare per essere davvero conformi.

Le tre regole base, sintesi delle linee guida Garante e EDPB:

Blocco preventivo dei tracker: nessun cookie di profilazione e nessun script di terze parti devono essere caricati prima del consenso. La sola eccezione sono i cookie tecnici essenziali (sessione, lingua, carrello).
Scelta granulare con pari opzioni: il banner deve offrire "Accetta", "Rifiuta" e "Personalizza" con la stessa enfasi visiva (stessa dimensione, stesso stile dei pulsanti). I banner con "Accetta" prominente e "Rifiuta" nascosto in un link grigio sono fuori norma.
Log verificabile dei consensi: per ogni utente che presta consenso, il sistema deve registrare data, scelta, versione della policy. In caso di contestazione devi poter dimostrare il consenso ricevuto.

A questi si aggiungono: revoca semplice (un link "modifica preferenze" sempre accessibile), riproposizione del banner dopo un periodo (in genere 6 mesi), aggiornamento automatico ad ogni cambio di tracker.

Le soluzioni più usate

Iubenda

La scelta standard per business italiani.

Pro: documentazione legale italiana puntuale, privacy/cookie policy generate automaticamente, scansione cookie periodica, supporto Consent Mode v2, log dei consensi inclusi
Contro: a pagamento (piani business nell'ordine di centinaia di euro all'anno)
Quando: siti professionali, e-commerce, qualunque sito con esigenze di compliance reali

CookieYes

Buon compromesso per piccoli siti.

Pro: piano gratuito utile, interfaccia semplice, supporto Consent Mode v2
Contro: privacy policy non generata, da scrivere a parte
Quando: blog personali, siti di piccole attività con tracker limitati

Complianz

Plugin focalizzato compliance europea.

Pro: gratuito con funzioni ricche, wizard di configurazione legale, blocco preventivo nativo, integra Consent Mode v2
Contro: interfaccia più tecnica, scansione cookie meno automatica
Quando: cliente tecnico, voglia di personalizzazione fine

Configurare Iubenda passo per passo

1. Crea l'account e i documenti

Su iubenda.com registra un account. Crea:

Privacy policy del sito (Iubenda fa wizard: tipo di sito, attività, terze parti)
Cookie policy collegata
Cookie banner con le opzioni grafiche (posizione, colori, testo)

Ottieni gli embed code dei documenti e dello script banner.

2. Installa il plugin Iubenda

Plugin → Aggiungi nuovo → "iubenda Cookie and Consent Solution". Attiva.

3. Connetti l'account

Nelle impostazioni del plugin:

Inserisci l'API key (la trovi nel pannello Iubenda)
Seleziona il sito da connettere
Abilita prior blocking (blocco preventivo dei tracker terze parti)
Abilita Consent Mode v2 se il sito usa Google Ads o GA4

4. Configura il banner

Dal pannello Iubenda online:

Posizione: bottom bar, modal centrale, sidebar
Pulsanti: Accetta tutto, Rifiuta tutto, Personalizza (tutti con pari rilievo)
Lingua: italiano (e altre se multilingua)
Riproposizione: ogni 6 mesi è il default consigliato

Aggiungi i link al footer del sito (Aspetto → Menu o widget footer). Iubenda fornisce embed code che genera link automatici, sempre aggiornati.

6. Verifica blocco preventivo

Apri il sito in incognito. Nei DevTools del browser, scheda Network, ricarica la pagina senza accettare il banner: non devi vedere chiamate verso google-analytics.com, facebook.com, ecc. Solo dopo aver cliccato "Accetta tutto" devono partire.

Coordinamento con GTM

I principali banner italiani inviano automaticamente segnali di consenso a GTM:

Iubenda: opzione "GTM Consent Mode v2 integration" da abilitare
CookieYes: integrazione GTM nelle impostazioni avanzate
Complianz: gestisce nativamente Consent Mode v2

Una volta abilitata l'integrazione, in GTM crei trigger che si attivano solo quando il consenso è dato, oppure usi le variabili built-in del Consent Mode v2.

Test pratico:

Apri il sito in incognito
Tag Assistant attivo
Ricarica → banner compare → nessun tag deve attivarsi
Clicca "Accetta tutto" → ora i tag GA4 e Meta si attivano
Clicca "Modifica preferenze" → revoca → ricarica → tag bloccati di nuovo

Se uno solo di questi step fallisce, c'è un problema da sistemare.

La cookie policy deve elencare, per ciascun cookie/tracker:

Nome del cookie o servizio (es. _ga, Meta Pixel, YouTube)
Finalità (statistica, marketing, profilazione)
Durata (sessione, 24 mesi, 13 mesi)
Titolare (proprio o di terze parti)
Base giuridica (consenso, legittimo interesse, necessità tecnica)
Link alla policy del titolare terzo

Iubenda e CookieYes generano questo elenco automaticamente dalla scansione del sito.

Errori comuni

Banner solo "Accetta" e "Personalizza" senza "Rifiuta tutto". Non conforme.
Pulsante "Rifiuta" più piccolo o grigio. Non conforme: pari rilievo.
Tag attivi prima del consenso. Violazione concreta. Verifica con Tag Assistant.
Cookie policy generica copiata da un altro sito. Va riferita ai servizi effettivi del tuo sito.
Banner che si ricarica ad ogni pagina. Configura la riproposizione su mesi, non sessione.
Consenso non revocabile. Il link "modifica preferenze" deve essere sempre raggiungibile dal footer.
Modulo di contatto che invia a Mailchimp senza consenso esplicito. Anche i form sono trattamenti: serve checkbox dedicato e informativa breve.

In sintesi

Cookie banner conforme = blocco preventivo + scelta granulare con pari rilievo + log dei consensi + coordinamento con GTM. Iubenda è la scelta più solida per business italiani, CookieYes e Complianz sono valide alternative.

Quando ti consegniamo un sito, preconfiguriamo il banner con privacy/cookie policy iniziali, blocco preventivo attivo e integrazione GTM testata. Per ogni nuovo strumento che aggiungi (un pixel, un widget di terze parti), ricordati di aggiornare la cookie policy: il banner deve dire la verità su cosa fa il sito.

Domande frequenti

Tecnicamente no: se il sito non usa cookie di profilazione né tracker di terze parti, il banner non serve. In pratica quasi tutti i siti hanno almeno GA4, font Google, mappe, video YouTube embed o altri strumenti che richiedono consenso. Il principio è: se il sito carica risorse o cookie da terze parti che profilano l'utente, serve banner conforme. Nel dubbio, un banner ben configurato non genera problemi.