Cosa sono i cookie? Spiegato semplice
I cookie sono piccoli file di testo che un sito salva nel browser. Sembra innocuo — e in origine lo era. I cookie sono stati inventati nel 1994 da Lou Montulli di Netscape. Il problema che risolvevano era semplice: HTTP, il protocollo del web, non ha memoria. Ogni volta che visiti una pagina, il server la considera come un nuovo visitatore. Senza cookie, un sito non potrebbe ricordare che sei loggato, cosa hai nel carrello o quale lingua preferisci. Ecco come funzionano: visiti un sito. Il server invia insieme alla pagina un piccolo cookie — ad esempio session_id=abc123. Il browser lo salva. Alla visita successiva, il browser invia automaticamente il cookie, e il server riconosce di nuovo te. È molto utile e indispensabile per molte funzioni web. Senza cookie, dovresti loggarti ogni volta. Lo shopping online sarebbe impossibile, perché il carrello si svuoterebbe ad ogni clic. Le impostazioni personali come lingua o tema non si salverebbero. I cookie di per sé non sono né buoni né cattivi. Sono semplici archivi di dati. Il problema nasce dal modo in cui vengono usati — specialmente dai cookie di terze parti, cioè di domini diversi da quello che visiti, che non hai mai visitato direttamente. E qui la storia si complica. Perché il file di testo che dovrebbe salvare il login, è diventato uno degli strumenti di sorveglianza più potenti di internet commerciale.
Cookie di prima e di terza parte
La differenza principale sta in chi imposta il cookie. I cookie di prima parte vengono dal sito che stai visitando. Sei su shop.it, e shop.it salva un cookie nel browser. È un cookie di prima parte. Serve di solito a mantenerti loggato, a salvare il carrello o le preferenze. Questi cookie sono generalmente innocui e spesso necessari. I cookie di terza parte vengono da un dominio diverso da quello che visiti. Sei su shop.it, ma in background la pagina carica un banner pubblicitario da ads.retepubblicitaria.com. Questo network pubblicitario imposta ora anche un cookie nel browser — il cookie di terza parte. Non viene da shop.it, ma da un terzo, che non hai mai visitato di proposito. Perché è problematico? Perché lo stesso network pubblicitario è presente su migliaia di siti. Se domani visiti news.it e anche lì c’è lo stesso network, ti riconosce — tramite il cookie di terza parte. Sa che ieri eri su shop.it e oggi su news.it. Così si crea un profilo cross-site. Il network ti traccia su metà internet, senza che te ne accorga. Sa quali prodotti guardi, quali notizie leggi, quali viaggi pianifichi e quali sintomi cerchi su Google. In più, un singolo sito può caricare contenuti da 20-50 domini di terze parti diversi. Ognuno può impostare cookie. Ognuno costruisce il suo profilo. E molti scambiano questi dati — in un sistema chiamato Real-Time Bidding, che in millisecondi mette all’asta il tuo profilo a centinaia di inserzionisti.
Come i cookie di terze parti ti seguono attraverso il web
Facciamo un esempio concreto di tracciamento. Lunedì: cerchi su Google «Scarpe da corsa». Clicchi su un negozio online. Il negozio ha integrato Google Ads, Facebook Pixel e altre tre reti pubblicitarie. Cinque cookie di terze parti finiscono nel tuo browser. Non acquisti nulla e chiudi la scheda. Martedì: leggi un articolo su un sito di notizie. La pagina ha le stesse reti pubblicitarie integrate. Ti riconoscono tramite i cookie del giorno precedente. Improvvisamente vedi pubblicità per scarpe da corsa. Niente di casuale — si chiama retargeting. Mercoledì: visiti un portale di viaggi. Di nuovo sono attive le stesse reti. Il tuo profilo si amplia: la persona è interessata a scarpe da corsa E pianifica apparentemente un viaggio. La pubblicità diventa ancora più mirata. Giovedì: cerchi un sintomo di salute su Google. Arrivi su un portale medico. Anche qui: tracker. Il tuo profilo ora contiene informazioni sulla salute — senza che tu abbia mai dato il consenso. Questo accade ad ogni caricamento di pagina, su ogni sito web, ogni giorno. Le grandi reti pubblicitarie — Google, Facebook, Amazon — sono integrate in oltre l’80% di tutti i siti web su internet. Vede praticamente tutto ciò che fai online. Il profilo risultante è sorprendentemente dettagliato: dati demografici, intenzioni di acquisto, interessi politici, stato di salute, stato civile, situazione finanziaria. E questo profilo viene venduto in aste in tempo reale — letteralmente nei millisecondi necessari a un sito per caricarsi. I banner dei cookie dovrebbero contrastare questo. Nella pratica, il 90% degli utenti clicca su «Accetta», perché il banner copre il contenuto e l’opzione «Rifiuta» è spesso volutamente difficile da trovare. Le piattaforme di gestione del consenso sono diventate un’industria a sé stante — che ironicamente imposta di propria iniziativa cookie di tracciamento.
L’era post-cookie — Fingerprinting e nuove tecniche di tracciamento
La buona notizia: i cookie di terze parti stanno morendo lentamente. Safari e Firefox già li bloccano di default. Google, dopo anni di tentativi e ripensamenti, ha implementato il blocco in Chrome in forma modificata. L’era del semplice tracciamento con cookie sta finendo. La cattiva notizia: l’industria del tracciamento ha già sviluppato alternative, alcune ancora più difficili da individuare e bloccare. Il fingerprinting del browser è l’alternativa più nota. Il browser fornisce ad ogni caricamento decine di informazioni tecniche: risoluzione dello schermo, font installati, fuso orario, lingua, sistema operativo, modello GPU, risultati WebGL e altro. Combinando questi dati si ottiene un’impronta digitale quasi unica. Studi mostrano che oltre il 90% dei browser può essere identificato in modo univoco — senza cookie. Il tracciamento lato server sposta il tracciamento dal browser al server. Invece di caricare un Facebook Pixel nel browser, il server del sito invia i dati direttamente a Facebook. Per il browser è invisibile, perché la comunicazione avviene tra server. Le domain di tracciamento di prima parte sono un trucco intelligente: invece di impostare cookie da tracker.werbenetzwerk.com, il sito configura una sottodominio come analytics.shop.de, che punta al server del tracker. Tecnicamente è un cookie di prima parte, praticamente è tracciamento di terze parti. Il tracciamento basato sul login aggira i cookie del tutto. Se sei loggato su Google, Facebook o Amazon, questi servizi ti riconoscono tramite il tuo account, senza bisogno di cookie. ETag, LocalStorage, IndexedDB e altri sistemi di memorizzazione del browser possono essere usati come i cookie per l’identificazione. Alcuni sono più difficili da eliminare rispetto ai cookie tradizionali. L’industria del tracciamento è creativa. Per ogni porta che si chiude, ne apre due nuove.
Come proteggerti davvero dal tracciamento
Se i cookie sono solo una parte del problema, la soluzione deve essere più completa. Ecco una strategia realistica per il 2026: Nel browser: usa Safari, Firefox o Brave — tutti e tre bloccano di default i cookie di terze parti. Attiva la protezione più severa contro il tracciamento offerta dal tuo browser. Installa uBlock Origin (non disponibile per Safari, ma non necessario per Firefox e Brave). Elimina regolarmente cookie e dati del browser. Usa diversi browser o contenitori per attività diverse — banking separato dai social media, shopping separato. A livello DNS: usa un resolver DNS rispettoso della privacy come NextDNS o Quad9. Blocca le domain di tracciamento note prima che la connessione venga stabilita. Funziona in modo browser- e app-agnostico. A livello app — e qui diventa decisivo: il browser è solo una delle tante app sul tuo Mac. Ogni altra app può inviare dati di tracciamento, e molte lo fanno. Un firewall per app come NetMute monitora tutto il traffico di rete del Mac, non solo il browser. NetMute Tracker-Shield blocca automaticamente oltre 624 domain di tracciamento noti — per tutte le app contemporaneamente. Che Spotify Analytics pingi, che il tuo editor di testo invii dati di utilizzo o che un’app dimenticata nel background contatti Facebook: NetMute lo riconosce e lo blocca. L’X-Ray delle app mostra il punteggio di privacy di ogni app, basato sul comportamento reale in rete. Così puoi subito capire quali app sono problematiche — e puoi bloccarle o sostituirle con alternative migliori. Cambiamenti comportamentali: disconnettiti da Google e Facebook se non li usi attivamente. Usa una email separata per gli acquisti online. Rifletti su ogni app che installi. Meno app, meno superficie di tracciamento. Nessuno strumento singolo risolve il problema del tracciamento. Ma una combinazione di browser rispettoso della privacy, blocco del tracciamento a livello di sistema e comportamento consapevole ti avvicina il più possibile alla vera privacy, come sarà nel 2026.