La Commissione Europea presenta il Digital Omnibus: una riforma epocale che promette di liberare la navigazione web dall’invasione dei banner di consenso. Ma dietro la semplificazione si nascondono sfide tecniche e questioni delicate sul futuro della privacy online.
Alzi la mano chi non si è mai sentito esasperato dal dover cliccare su decine di banner ogni giorno, accettando meccanicamente qualunque pulsante pur di accedere ai contenuti, senza un vero controllo sui propri dati. Dal 2018, quando il GDPR ha imposto l’obbligo di consenso esplicito per i cookie non essenziali, la navigazione web si è trasformata in un percorso a ostacoli fatto di pop-up, finestre modali e scelte che raramente sono davvero libere. Il 19 novembre 2025, la Commissione Europea ha presentato una proposta che potrebbe cambiare radicalmente questo scenario: il Digital Omnibus Package, un pacchetto di riforme digitali che tocca non solo la gestione dei cookie, ma anche l’intelligenza artificiale e la cybersicurezza.
Il paradosso della privacy: quando la tutela diventa un ostacolo
La storia dei cookie banner è un perfetto esempio di come una norma ben intenzionata possa produrre effetti inattesi. La direttiva ePrivacy del 2009 e successivamente il GDPR del 2018 hanno introdotto requisiti stringenti per proteggere i dati personali degli utenti. L’obiettivo era nobile: garantire che nessuno potesse tracciare le nostre attività online senza il nostro consenso informato. Il risultato pratico, però, è stato un diluvio di banner che interrompono la navigazione, spesso progettati con quello che gli esperti chiamano “dark patterns”, cioè interfacce volutamente complicate che spingono l’utente ad accettare tutto pur di proseguire.
Michael McGrath, commissario europeo per democrazia, giustizia e Stato di diritto, ha spiegato durante la conferenza stampa di presentazione che l’attuale sistema ha tradito la sua stessa missione: non solo non rafforza la privacy, ma produce l’effetto opposto. La sovrabbondanza di richieste di consenso spinge la maggior parte delle persone a cliccare senza pensarci, trasformando il consenso in una finzione legale, una foglia di fico che copre un sistema di tracciamento invasivo quanto quello precedente al GDPR, ma con il fastidio aggiuntivo dei pop-up. La Commissione lo riconosce esplicitamente: il sistema attuale semplicemente non funziona.
La soluzione? Centralizzare le scelte nel browser
La proposta della Commissione si basa su un principio semplice ma rivoluzionario: perché costringere gli utenti a esprimere le stesse preferenze centinaia di volte, quando potrebbero farlo una volta sola? Il nuovo sistema prevede che le scelte sulla privacy vengano gestite direttamente a livello di browser o sistema operativo. In pratica, ciascun utente potrà impostare le proprie preferenze generali una volta per tutte, e queste verranno automaticamente comunicate a tutti i siti web visitati attraverso segnali standardizzati leggibili dalle macchine.
Questa idea non è nuova: era già stata discussa prima dell’entrata in vigore del GDPR, ma all’epoca non trovò sufficiente consenso. Ora, di fronte all’evidente fallimento del modello attuale, Bruxelles riprende quella proposta e la inserisce in un contesto normativo più maturo. Il meccanismo prevede che i browser implementino funzionalità native per la gestione del consenso, eliminando la necessità di affidarsi a terze parti come le Consent Management Platform (CMP) che attualmente popolano il web.
Le nuove regole introducono anche un principio di durabilità delle scelte: una volta espresso il consenso su un sito, questo non potrà chiedere nuovamente conferma per almeno sei mesi. Si tratta di un cambiamento sostanziale rispetto alla situazione attuale, dove spesso basta cancellare i cookie o cambiare dispositivo per ritrovarsi di nuovo davanti agli stessi banner.
Cookie buoni e cookie cattivi: la nuova classificazione
Un altro elemento fondamentale della riforma riguarda la distinzione tra diverse tipologie di cookie. La proposta introduce una lista esplicita di cookie che non richiederanno più il consenso dell’utente, perché considerati innocui dal punto di vista della privacy. Rientrano in questa categoria i cookie tecnici indispensabili al funzionamento del sito, quelli utilizzati per statistiche aggregate e anonime, quelli per la sicurezza e quelli necessari per mantenere attiva la sessione di un utente già registrato.
Questa classificazione risponde a una delle critiche più fondate mosse al sistema attuale: perché un sito dovrebbe chiedere il permesso per contare quanti visitatori riceve, se questi dati sono completamente anonimi? La Commissione riconosce implicitamente che l’eccessivo rigore normativo ha portato a una proliferazione di richieste inutili, che hanno desensibilizzato gli utenti e reso meno efficace la protezione per i cookie davvero invasivi, quelli utilizzati per la profilazione pubblicitaria.
Restano invece soggetti a consenso esplicito tutti i cookie di tracciamento per finalità pubblicitarie personalizzate, che rappresentano il vero nodo della questione. Su questi, la nuova normativa non allenta la presa: il consenso deve essere libero, informato e revocabile in qualsiasi momento.
In pratica… chi fa cosa?
La fase di attuazione della riforma rappresenta probabilmente la sfida più complessa. L’intero sistema si basa infatti sulla disponibilità dei browser a implementare le funzionalità necessarie, il che significa coinvolgere giganti tecnologici come Google (Chrome), Apple (Safari), Microsoft (Edge) e Mozilla (Firefox). Questi player controllano oltre il 95% del mercato browser mondiale, e senza la loro collaborazione attiva il sistema non può funzionare.
La proposta della Commissione prevede una fase transitoria in cui i siti dovranno comunque mostrare banner, ma semplificati: non più labirinti di opzioni nascoste dietro pulsanti “Gestisci preferenze”, ma un chiaro meccanismo “one-click” con opzioni di accettazione o rifiuto immediatamente visibili. Questa soluzione ponte dovrebbe entrare in vigore già nel corso del 2026, mentre la gestione completamente centralizzata nei browser richiederà più tempo, probabilmente fino al 2027 o 2028.
Per le aziende, la riforma comporta un ripensamento completo dell’infrastruttura tecnologica. Le attuali Consent Management Platform dovranno essere riprogettate per riconoscere e rispettare i segnali automatici provenienti dai browser. I tag manager, gli analytics e tutti gli strumenti di marketing dovranno essere aggiornati. Le imprese dovranno inoltre documentare accuratamente quali attività rientrano nelle eccezioni al consenso, preparandosi a giustificare le proprie scelte in caso di controllo da parte delle autorità di protezione dati.
Tuttavia, secondo le stime della Commissione Europea, questi investimenti iniziali saranno ampiamente compensati nel medio periodo: la riforma dovrebbe generare risparmi superiori agli 800 milioni di euro all’anno per le aziende europee. Si tratta di costi amministrativi, legali e tecnici che attualmente le imprese sostengono per gestire banner complessi, aggiornare costantemente le policy, rispondere a richieste di accesso ai dati e difendersi da contenziosi legati al consenso. Eliminando la necessità di banner ripetitivi e semplificando la compliance, il nuovo sistema promette di liberare risorse significative che potranno essere reinvestite in innovazione e sviluppo.
Il passaggio al nuovo sistema viene inserito direttamente nel GDPR attraverso un nuovo articolo 88 bis, che unifica in un unico testo normativo quello che finora era disperso tra la direttiva ePrivacy e il regolamento generale. Questo significa che le violazioni continueranno a essere sanzionabili con multe fino al 4% del fatturato globale, una leva punitiva che dovrebbe garantire un’adozione seria delle nuove regole.
Le zone d’ombra: privacy advocate e big tech
Non tutti applaudono alla riforma. Diverse associazioni per la tutela della privacy hanno espresso preoccupazioni sul fatto che la centralizzazione delle preferenze nei browser potrebbe paradossalmente rafforzare il potere dei grandi player tecnologici. Se Google Chrome diventa il gateway attraverso cui passano le scelte di privacy di miliardi di utenti, chi controlla che queste scelte vengano effettivamente rispettate? E chi garantisce che i browser stessi non utilizzino queste informazioni per i propri fini commerciali?
C’è poi la questione delle eccezioni. La proposta prevede che alcune categorie di siti, in particolare quelli di informazione giornalistica, possano continuare a mostrare banner anche quando l’utente ha impostato un generico “rifiuta tutto” nel browser. La giustificazione è comprensibile: molti siti di notizie dipendono dalla pubblicità personalizzata per sopravvivere economicamente, e il giornalismo indipendente svolge un ruolo cruciale nella democrazia. Ma questa eccezione rischia di creare una falla nel sistema, aprendo la porta a interpretazioni estensive di cosa costituisca “informazione giornalistica”.
Altri osservatori temono che le esenzioni per cookie “innocui” come quelli analitici possano essere abusate. La linea tra misurazione aggregata dell’audience e profilazione individuale è sottile, e dipende molto da come i dati vengono raccolti, aggregati e conservati. La Commissione assicura che restano in vigore tutti gli altri obblighi del GDPR, compresa la trasparenza e la minimizzazione dei dati, ma l’applicazione pratica di questi principi sarà cruciale.
Oltre i cookie: il pacchetto completo
Il Digital Omnibus non si occupa solo di cookie. Include anche semplificazioni significative per l’AI Act, il regolamento sull’intelligenza artificiale entrato in vigore nel 2024 ma non ancora completamente applicato. Le startup e le piccole medie imprese avevano lamentato che gli obblighi previsti per i sistemi ad alto rischio fossero troppo gravosi. La riforma estende i periodi di grazia per la compliance, riduce la documentazione richiesta e centralizza la supervisione presso l’Ufficio AI europeo.
Questa componente del pacchetto è altrettanto significativa: l’Europa sta cercando di bilanciare la sua ambizione di essere leader mondiale nella regolamentazione dell’economia digitale con la necessità di non soffocare l’innovazione. Il rischio è che un eccesso di burocrazia spinga le aziende tecnologiche più dinamiche a svilupparsi altrove, impoverendo l’ecosistema imprenditoriale europeo.
Quindi, cosa aspettarsi?
La proposta presentata il 19 novembre deve ora percorrere l’intero iter legislativo europeo. Il Parlamento Europeo e il Consiglio dei 27 Stati membri dovranno discuterla, emendarla e infine approvarla. L’esperienza passata con norme simili suggerisce che il processo non sarà rapido né indolore: la bozza di regolamento ePrivacy, per esempio, è in discussione dal 2017 senza essere mai stata approvata.
Scenari ottimistici indicano una possibile conclusione entro la fine del 2026, con entrata in vigore nel 2027. È più probabile, tuttavia, che si arrivi al 2028 prima di vedere il sistema pienamente operativo. Nel frattempo, la fase transitoria con banner semplificati dovrebbe già offrire un miglioramento significativo dell’esperienza utente a partire dalla seconda metà del 2026.
Per i cittadini europei, il messaggio è chiaro: l’era dei pop-up infiniti sta per finire, anche se non immediatamente. Per le aziende, inizia una corsa contro il tempo per adeguare infrastrutture tecnologiche, processi e documentazione. Per i browser, si apre un’opportunità unica di diventare protagonisti della privacy digitale, ma anche una responsabilità enorme.
La vera domanda, alla fine, è se questo nuovo sistema riuscirà davvero a riconciliare privacy e usabilità, o se semplicemente sposterà il problema su un altro livello, meno visibile ma non necessariamente più trasparente. La risposta arriverà solo quando milioni di utenti inizieranno a navigare nel web post-riforma, scoprendo se le promesse di Bruxelles si tradurranno in un’esperienza realmente migliore o in nuove, più sottili forme di controllo.
