L’audit ha trovato 194 servizi che ignorano il segnale di privacy
Un audit di webXray rivela che 194 servizi pubblicitari ignorano sistematicamente il segnale Global Privacy Control in California, potenzialmente violando il CCPA nonostante i banner certificati.
La certificazione di Google non blocca i cookie dopo la scelta dell’utente, rendendo il controllo una garanzia inefficace.
I numeri sono difficili da ignorare. Secondo l’audit di webXray sui siti web californiani, pubblicato nel marzo 2026, ben 194 servizi di pubblicità online ignorano sistematicamente il Global Privacy Control (GPC) — il segnale di opt-out standardizzato a livello globale e riconosciuto dai regolatori. Ma la scoperta più scomoda non è nel numero in sé: è nel fatto che i banner di scelta dei cookie certificati da Google non impediscono a Google stessa di impostare cookie dopo che un utente ha inviato un segnale GPC valido. In altre parole, la certificazione è una garanzia che non garantisce nulla.
L’audit che svela l’inganno
Il GPC è un meccanismo tecnico preciso: un header HTTP e una proprietà JavaScript (navigator.globalPrivacyControl) che il browser invia automaticamente ai siti visitati, segnalando che l’utente non consente la vendita o la condivisione dei propri dati personali. Sotto il California Consumer Privacy Act (CCPA), i siti che ricevono questo segnale sono legalmente obbligati a rispettarlo. Non è una preferenza vaga, è un’istruzione machine-readable con copertura legale.
Quello che webXray ha rilevato analizzando i siti più popolari della California è che le grandi aziende tecnologiche ignorano semplicemente questo segnale, potenzialmente violando la legge sulla privacy californiana su scala massiva. Non si tratta di casi isolati o di piccoli operatori che non hanno aggiornato il proprio stack: parliamo di 194 servizi pubblicitari strutturati, con ingegneri, team legali e uffici compliance. Il problema non è tecnico nel senso di difficile da implementare — leggere un header HTTP è banale. È una scelta.
Le giustificazioni delle big tech
Dall’audit, passiamo alle reazioni delle aziende coinvolte, riportate nell’analisi di Dark Reading sull’audit delle big tech. Microsoft giustifica il proprio comportamento affermando che certi cookie sono necessari per scopi operativi e possono quindi essere impostati e letti anche quando viene rilevato un segnale GPC. È un argomento che ha una sua logica parziale — i cookie di sessione per l’autenticazione esistono in una zona grigia rispetto all’opt-out — ma la vaghezza dell’affermazione lascia aperta una porta abbastanza larga da farci passare un camion di dati pubblicitari.
Meta è più diretta, e più aggressiva. In una dichiarazione via email, ha definito l’audit un «marketing ploy» — un trucco promozionale — aggiungendo che si tratta di «un palese stratagemma di marketing che travisa il funzionamento dell’impostazione Global Privacy Control e il ruolo di Meta». È una risposta che dice poco sulla sostanza tecnica e molto sulla strategia comunicativa: attaccare la credibilità dell’audit invece di rispondere ai dati. Il contrasto tra le dichiarazioni pubbliche di queste aziende sul rispetto della privacy e le pratiche effettive rilevate dall’audit è difficile da spiegare diversamente da una scelta deliberata di non conformità.
Cosa cambia per chi costruisce
Oltre le giustificazioni, è tempo di guardare all’impatto sullo stack e sulla legge. Per gli sviluppatori che integrano servizi di terze parti — reti pubblicitarie, pixel di tracciamento, SDK analytics — la scoperta di webXray ha implicazioni concrete. Se il tuo sito include un tag di Google o Meta e uno dei tuoi utenti californiani invia un segnale GPC, la responsabilità legale di rispettarlo ricade anche su di te, non solo sul provider del servizio. Questo è il punto che molti team di sviluppo non hanno ancora interiorizzato: l’integrazione di un SDK non trasferisce la compliance, la moltiplica.
Il precedente legale più recente in questo spazio è indicativo. Disney ha raggiunto un accordo da 2,75 milioni di dollari con l’Attorney General della California — il più grande nella storia del CCPA — come da comunicato stampa dell’Attorney General della California. Nell’accordo, Disney è obbligata a implementare metodi di opt-out che fermino completamente la vendita o condivisione dei dati personali dei consumatori. Se Disney, con i suoi team legali e le sue risorse, si è trovata esposta a questo livello, il rischio per aziende con meno struttura è proporzionalmente più alto, non più basso.
La questione tecnica sottostante è questa: il GPC non è un banner, non è un checkbox, non è un’interfaccia utente. È un segnale di protocollo. Trattarlo come tale richiede che la compliance sia integrata a livello di infrastruttura — nel modo in cui il server interpreta le request in ingresso, nel modo in cui i cookie vengono impostati condizionalmente, nel modo in cui le chiamate ai servizi di terze parti vengono firmate o bloccate. Non basta avere una privacy policy aggiornata o un banner conforme. Se il tuo backend non legge Sec-GPC: 1 e non agisce di conseguenza, sei esposto.
La compliance non è più una checklist da affidare al team legale a posteriori. È un requisito di architettura che deve entrare nello stack fin dall’inizio della progettazione. Ogni servizio di terze parti che includi è un potenziale punto di violazione. Finché le grandi piattaforme possono ignorare impunemente i segnali GPC e rispondere con comunicati stampa invece che con patch, il sistema di privacy online che gli utenti credono di stare usando rimane, nei fatti, una finzione tecnica.
