Secondo un audit indipendente condotto da webXray su oltre 7.000 siti web popolari in California, Google ignora la richiesta di opt-out l’87% delle volte. Meta il 69%. Microsoft il 50%. In più della metà dei casi analizzati, il cookie pubblicitario viene installato nel browser anche quando l’utente ha esplicitamente chiesto di non essere tracciato.
La frase che riassume tutto l’audit la dice Timothy Libert, fondatore di webXray ed ex responsabile della policy sui cookie di Google: Non è complicato. Dici “non impostare il cookie.” Loro impostano il cookie.
Le Big Tech ignorano sistematicamente le richieste di privacy degli utenti
La California ha il CCPA, una delle leggi sulla privacy più stringenti degli Stati Uniti. che permette agli utenti di rifiutare la vendita dei propri dati personali. Esiste un sistema chiamato Global Privacy Control (GPC) che invia un segnale ai siti web: “questo utente non vuole essere tracciato.” Quando il browser si connette ai server di Google con il GPC attivo, invia il codice “sec-gpc: 1”, l’equivalente digitale di un cartello “non disturbare.”
La risposta del server di Google? Imposta un cookie pubblicitario chiamato IDE usando il comando “set-cookie.” In bella vista nel traffico di rete. Non è nascosto, è un’istruzione esplicita che contraddice la richiesta dell’utente.
Meta è ancora più diretta, il suo codice di tracciamento, che gli editori installano sui propri siti, non contiene alcun controllo per i segnali di opt-out standard, si carica incondizionatamente, attiva un evento di tracciamento e imposta un cookie indipendentemente dalle preferenze di privacy del consumatore.
I banner sui cookie non funzionano
La parte più preoccupante dell’audit riguarda i Consent Management Platform (CMP), quei pop-up fastidiosi che chiedono se si accettano i cookie. Google gestisce un programma che certifica queste piattaforme. Il conflitto di interessi è evidente, chi vende i cookie certifica gli strumenti che dovrebbero bloccarli. webXray ha testato tre CMP certificati da Google e non funzionano.
Le multe hanno sostituito le tasse…
Google, Microsoft e Meta hanno collettivamente pagato miliardi in sanzioni per violazioni della privacy simili. Ma secondo Libert, le aziende non temono le multe, anzi, sono diventate un sostituto delle tasse. Possono pagare multe per sempre.
La cosa paradossale, è che la soluzione tecnica è banale. Secondo l’audit, basterebbe una riga di codice. Quando il server riceve un segnale GPC, restituisce un codice “451 Unavailable For Legal Reasons” e non imposta il cookie. Fine.
Meta, Google, Microsoft negano tutto. Ovviamente. Libert ha lasciato Google nel 2023 dopo che il suo capo gli ha detto, citazione diretta, che il suo lavoro era proteggere l’azienda, non gli utenti. Ha fondato webXray per mostrare cosa succede dietro le quinte.
Ti potrebbe interessare
14 apr 2026