Normativa Cookies Magento: Guida completa per mettere in regola il tuo store + BONUS Tutorial

I cookie sono gli “eroi nascosti” di un’esperienza di acquisto online fluida: lavorano dietro le quinte per ricordare le preferenze degli utenti, semplificare la navigazione, mantenere il carrello e permettere consigli personalizzati sui prodotti. Possono essere cookies tecnici, cookies analitici, cookies di profilazione e cookies di terze parti.

Nel contesto di un e-commerce basato su Magento 2, capire e configurare correttamente i cookie non è solo una questione tecnica: è fondamentale per:

• migliorare l’esperienza utente,
• supportare conversioni e performance,
• garantire la conformità al GDPR e alle linee guida del Garante Privacy e dell’EDPB.

Cos’è la Cookie Law

La Cookie Law non è una singola legge, ma un insieme di disposizioni europee e nazionali che regolano l’uso di cookie e altri strumenti di tracciamento nei siti web e nelle app.

Si fonda principalmente su:

• Direttiva ePrivacy (Direttiva 2002/58/CE, modificata dalla 2009/136/CE);
• Regolamento UE 2016/679 (GDPR);
• D.lgs. 196/2003 – Codice Privacy italiano, come modificato dal D.lgs. 101/2018;
• Provvedimento del Garante Privacy del 10 giugno 2021 – “Linee guida cookie e altri strumenti di tracciamento”.

A livello europeo, l’autorità di riferimento è il Comitato Europeo per la Protezione dei Dati (EDPB), che ha adottato documenti chiave come le Linee guida n. 5/2020 sul consenso, oltre ai successivi chiarimenti su banner, dark pattern e modalità di raccolta del consenso.

Per un e-commerce Magento, la Cookie Law si traduce in:

• mappatura dei cookie e degli strumenti di tracciamento;
• banner di consenso conforme;
• blocco preventivo dei cookie non tecnici;
• cookie policy chiara e sempre accessibile;
• tracciamento e gestione dei consensi raccolti.

Cosa sono i Cookies e perché si usano?

Un cookie è una stringa di testo che un sito web colloca all’ interno del PC, smartphone o altri dispositivi e che contiene tutte le informazioni inerenti alla navigazione del suddetto sito.

L’obiettivo principale dei cookies, è quello di migliorare l’esperienza di navigazione dal punto di vista dell’utente:

• memorizzare lingua, valuta, carrello, login;
• ricordare prodotti visti di recente;
• semplificare il checkout.

I cookies raccolgono informazioni anonime sulle pagine visitate, indicando i prodotti e le informazioni più ricercate dall’utente

Questi strumenti sono utilizzati per tenere traccia delle scelte di percorso e servono per rendere migliore l’esperienza dell’utente nella navigazione.

Lo scopo dei cookies è anche:

• Misurare e ottimizzare le performance
  • analizzare le pagine più visitate;
  • studiare il comportamento degli utenti lungo il funnel;
  • capire il traffico e le conversioni per canale.
• Abilitare marketing e personalizzazione
  • mostrare promozioni mirate;
  • proporre prodotti rilevanti;
  • ottimizzare campagne di advertising.

I cookie raccolgono normalmente informazioni anonime o pseudonimizzate sulle pagine visitate, sul percorso di navigazione e, nel caso di profilazione, sulle preferenze individuali. È proprio su questi ultimi che la normativa si è concentrata di più.

Quanti e quali tipi di cookies esistono?

Viene fatta una distinzione tra “Cookies Tecnici” , “Cookies di Profilazione” e “Cookies di Terze Parti“.

Cookies Tecnici

I Cookies Tecnici sono quelli che vengono utilizzati per fornire all’utente una migliore esperienza di navigazione.

Sono necessari per il funzionamento del sito e non richiedono il consenso dell’utente.

Esempi tipici in un e-commerce:

• gestione della sessione;
• lingua e valuta;
• carrello acquisti e wishlist;
• autenticazione e area riservata;
• sicurezza e prevenzione frodi.

Cookies Analitici

Servono a raccogliere dati statistici sull’uso del sito:

• se anonimizzati e usati solo in forma aggregata, possono essere equiparati ai cookie tecnici; Quindi se:
  • usati per statistiche aggregate su un singolo sito;
  • IP anonimizzati (almeno l’ultima parte);
  • il fornitore non combina i dati con altre basi e non li usa per profilazione o dati cross-domain non riconducibili allo stesso titolare.
• se permettono di identificare (anche indirettamente) l’utente o vengono riutilizzati dal fornitore per altre finalità, richiedono consenso.

Cookies di Profilazione

I Cookies di Profilazione sono invece dei cookies  finalizzati all’invio di messaggi pubblicitari in linea con le preferenze dell’utente.

Creano profili dell’utente in base ai suoi comportamenti online e vengono utilizzati per inviare pubblicità personalizzata.

• richiedono sempre consenso esplicito, libero e granulare;
• il banner deve permettere:
  • accettare tutti i cookie;
  • rifiutare tutti i cookie;
  • scegliere per categorie;
• non è più lecito usare “consenso implicito” (es. semplice scroll).
• sono centrali in attività di remarketing, retargeting e ADV personalizzata.

Quante volte ti sarà capitato di cercare un hotel per esempio a Roma, su di un sito internet e poi automaticamente trovarti davanti a numerosi banner pubblicitari di altri siti con l’hotel nella città che cercavi?

Ecco tutto questo è merito di questa particolare tipologia di cookies.

Esempi:

• remarketing e retargeting;
• advertising personalizzato basato su cronologia di navigazione;
• profilazione per cluster di interesse.

Cookies di Terze Parti

I Cookies di terze parti, sono installati da soggetti diversi dal titolare del sito (ad es. Google, Facebook, piattaforme ADV, tool di analytics o A/B test). In questo caso, occorrerà indicare la presenza di questi cookies, all’interno del banner e indicare nell’informativa estesa di che tipologia di cookies si tratti.

Per un e-commerce, i cookie di terze parti sono tipicamente:

• strumenti di analytics forniti da terzi;
• sistemi di advertising (es. rete display);
• pixel di social network;
• tool di A/B testing o heatmap.

Questi cookie consentono alle aziende terze di ricostruire le attività degli utenti su più siti e creare profili molto dettagliati.

Per questo motivo:

• devono essere bloccati fino al consenso;
• il titolare deve fornire nell’informativa i link alle policy delle terze parti;
• il banner deve permettere un opt-in effettivo e revocabile.

Cookie negli e-commerce Magento: esempi concreti

In un negozio online, i cookie sono fondamentali per:

• memorizzare il contenuto del carrello;
• mantenere attivo il login fra una pagina e l’altra;
• salvare la lingua, la valuta, la view di store;
• tracciare le conversioni delle campagne marketing;
• alimentare sistemi di raccomandazione prodotti;
• misurare funnel e KPI (product view, add to cart, checkout, purchase).

Esempio: aggiungi una maglietta al carrello durante la pausa pranzo, chiudi il browser e la sera ritrovi il prodotto ancora nel carrello. Questo è possibile grazie ai cookie tecnici di sessione o permanenti, che migliorano la UX e sono essenziali per l’e-commerce.

Quando serve il consenso secondo la Cookie Law

Secondo il GDPR, la Direttiva ePrivacy, le Linee guida dell’EDPB e del Garante, il consenso deve essere:

• libero – non condizionato dalla prosecuzione della navigazione;
• informato – preceduto da un’informativa chiara e comprensibile;
• specifico – distinto per ciascuna finalità/categoria di cookie;
• espresso – ad esempio cliccando su un pulsante “Accetta”;
• documentabile – il titolare deve poter dimostrare come e quando è stato raccolto.

Il consenso è richiesto per:

• cookie analitici non anonimizzati;
• cookie di profilazione;
• cookie di marketing e advertising;
• cookie di terze parti non strettamente tecnici.

Il banner cookie deve quindi comparire al primo accesso e consentire all’utente di:

• scegliere quali categorie di cookie accettare;
• modificare facilmente le preferenze;
• rifiutare tutti i cookie non essenziali con pari evidenza rispetto all’accettazione.

Il banner cookie è obbligatorio?

Il banner cookie è sostanzialmente obbligatorio in due scenari molto frequenti per un e-commerce:

1. Pubblico di riferimento residente in Europa
   Se il tuo sito/e-commerce si rivolge anche a visitatori residenti nell’UE/SEE, devi applicare la normativa europea su dati personali e cookie (GDPR + ePrivacy), quindi prevedere un banner di consenso.
2. Sede del titolare in Europa
   Se la tua sede aziendale (o come persona fisica titolare del sito) è in Europa, devi adeguarti al GDPR e alle norme italiane, incluso l’obbligo di gestire correttamente cookie e consenso.

Nella pratica, per un e-commerce Magento rivolto al mercato italiano o europeo, il banner è quasi sempre necessario, tranne nei rari casi in cui vengano utilizzati solo cookie tecnici (e analitici anonimizzati).

Quando NON è obbligatorio il banner cookie

Non è necessario mostrare un banner di consenso quando:

• il sito utilizza solo cookie tecnici, indispensabili per:
  • navigazione;
  • login;
  • carrello e ordini;
  • sicurezza;
• eventuali cookie analitici:
  • sono configurati in modo da essere completamente anonimizzati;
  • vengono usati solo per statistiche aggregate;
  • non consentono al fornitore di ricostruire profili o combinare dati con altri domini.

In questi casi:

• è comunque obbligatoria una cookie policy chiara;
• non è necessario il banner, ma l’utente deve essere informato.

Non appena vengono introdotti cookie di profilazione, marketing, social o analitici non anonimizzati, scatta l’obbligo di banner e raccolta del consenso.

Le Linee guida del Garante Privacy sui cookie

Il Provvedimento del 10 giugno 2021 del Garante (“Linee guida cookie e altri strumenti di tracciamento”) ha precisato molti aspetti pratici:

• scroll e cookie wall non sono modalità valide di consenso;
• il banner deve prevedere almeno tre opzioni:
  • “Accetta”,
  • “Rifiuta”,
  • “Personalizza”/“Gestisci”;
• devono essere indicati i tempi di conservazione dei cookie;
• è obbligatorio fornire una cookie policy aggiornata e facilmente accessibile;
• va sempre garantita la possibilità di revocare il consenso in qualsiasi momento, ad esempio tramite:
  • link o icona sempre visibile nel footer;
  • riapertura del pannello preferenze cookie.

Gli interventi successivi del Garante (2023–2025) hanno poi sanzionato:

• banner privi di tasto “Rifiuta” paritetico;
• caselle preselezionate;
• design ingannevoli (dark pattern);
• installazione di cookie non tecnici prima del consenso.

Cosa scrivere nel banner cookie obbligatorio

Il banner rientra nell’informativa breve e deve:

• informare in modo sintetico che il sito utilizza:
  • cookie tecnici;
  • eventuali cookie analitici, di profilazione o di terze parti;
• spiegare, a grandi linee, le finalità (statistica, marketing, personalizzazione, ecc.);
• contenere un link diretto alla cookie policy (informativa estesa);
• indicare chiaramente che:
  • l’utente può accettare tutti i cookie;
  • può rifiutare tutti i cookie non essenziali;
  • può gestire le preferenze per singole categorie.

Pulsanti obbligatori nel banner cookie

Un banner conforme alla Cookie Law e alle Linee Guida deve includere, in modo evidente, almeno tre pulsanti:

1. “Rifiuto tutti i cookie”
   • disattiva tutte le categorie non essenziali (profilazione, marketing, analitici non tecnici, terze parti);
   • mantiene solo i cookie tecnici.
2. “Accetto i cookie”
   • abilita tutte le categorie opzionali;
   • è valido solo se:
     • il pulsante di rifiuto ha pari evidenza;
     • non ci sono caselle preselezionate.
3. “Gestisci i cookie” / “Personalizza”
   • apre un pannello di preferenze in cui:
     • sono elencate le diverse categorie (es. “statistica”, “marketing”, “social”);
     • l’utente può attivare/disattivare le categorie (tranne i tecnici).

Queste scelte devono poter essere modificate o revocate in qualunque momento, ad esempio tramite:

• un’icona sempre visibile;
• un link fisso nel footer per riaprire il pannello.

Strumenti tecnici per la conformità: CMP e Google Consent Mode

Per rispettare la Cookie Law, in particolare su siti complessi come un e-commerce Magento, è quasi indispensabile usare una CMP (Consent Management Platform) che:

• blocchi preventivamente cookie e script non tecnici;
• gestisca banner e preferenze;
• registri i consensi in modo documentabile;
• dialoghi con strumenti terzi (es. GTM, GA4, piattaforme ADV).

Google Consent Mode v2

Per chi utilizza Google Analytics, Google Ads, AdSense, ecc., da marzo 2024 Google richiede il supporto alla Consent Mode v2, con invio di specifici segnali di consenso (ad es. ad_user_data, ad_personalization, analytics_storage, functionality_storage, ecc.).

In pratica:

• il tuo sito deve raccogliere il consenso tramite banner/CMP;
• il banner deve passare i segnali di consenso a GTM/Google;
• i tag devono attivarsi o rimanere bloccati in base alle scelte espresse dall’utente.

La Consent Mode (anche in modalità advanced) non sostituisce un consenso valido: i cookie non tecnici restano vietati senza un opt-in libero, informato e granulare.

Come configurare i cookie in Magento 2

Per prima cosa dovrai definire le impostazioni dei cookies

Per farlo vai su: Stores -> Configuration -> General -> Web ->  Default Cookie Settings

Impostazioni chiave:

• Durata dei cookie (Cookie Lifetime)
  • valore di default: 3600 secondi (1 ora);
  • puoi estenderla/ridurla, rispettando il principio di minimizzazione.
• Percorso cookie (Cookie Path)
  • di solito /, per rendere i cookie disponibili su tutto il sito.
• Dominio cookie (Cookie Domain)
  • dominio principale e, se necessario, sottodomini.
• Use HTTP Only / Cookie sicuri (Use HTTP Only)
  • abilita “Use HTTP Only” e “Use Secure Cookie” per:
    • limitare l’accesso ai cookie da script lato client;
    • garantire che i cookie viaggino solo su HTTPS.
• Modalità di restrizione dei cookie (Cookie Restriction Mode)
  • limita i cookie non essenziali finché l’utente non ha dato il consenso;
  • da usare in combinazione con banner/CMP per il blocco effettivo dei tag.
• Informativa sui cookie (Cookie Notice)
  • messaggio sintetico da mostrare all’utente;
  • deve rimandare alla cookie policy estesa.

Dopo aver aggiornato:

• salva la configurazione;
• svuota la cache di Magento.

1) Crea la Pagina Cookie Policy

Come prima cosa, dovrai creare una pagina CMS con l’informativa completa. per farlo vai in admin e crea una nuova pagina.

• Segui il percorso: Content -> Element -> Pages
• Qui puoi decidere se modificare una pagina già presente (e quindi in questo caso, la selezioni dall’elenco e clicchi su Edit) o se crearla nuova (e in questo caso clichi su Edit New Page

• Inserisci:
  • tipologie di cookie usati (tecnici, analitici, profilazione, terze parti);
  • finalità, basi giuridiche, tempi di conservazione;
  • elenco delle principali terze parti con link alle loro policy;
  • istruzioni per modificare le impostazioni del browser;
  • modalità per revocare il consenso tramite banner/CMP.
• Come ID della pagina inserisci informativa-cookies
• Scegli la store view nella quale vuoi far apparire questa pagina

2) Inserisci il banner in admin

Tramite l’admin di Magento, andando in Sistema > Configurazione > Design – Tab Footer, troveremo un box dove inserire l’ HTML.

Qui dentro inseriamo il codice HTML del banner dei cookie che vogliamo inserire nel sito:

<!-- Cookie Banner by Magentiamo.it -->
<div id="cookiebox" class="cookie-box">
 <a class="close-bar">x</a>
 <p class="cookie-msg">Questo sito utilizza i cookies. Proseguendo nella navigazione, accetti le condizioni.</p>
 <a href="{{secure_base_url}}informativa-cookies">Ulteriori Informazioni</a><button>OK</button>
</div>

3) Formatta Graficamente in CSS il popup dei Cookie

Ora, apriamo il nostro file css e aggiungiamo lo stile per posizionare il box in basso a destra e dandogli un colore di sfondo nero, in questo modo:

/* Cookie by Magentiamo.it */
#cookiebox {
    bottom: 60px;
    right: 0;
    padding: 10px 10px 15px;
    position: fixed;
    width: 200px;
    z-index: 99;
    background:#333;
}
#cookiebox a {
	margin: 0;
	float: left;
}
#cookiebox button {
      margin:0;float: right;
}
#cookiebox p {
	margin-bottom: 20px;
}
#cookiebox .cookie-msg {
	color: #818181;
	font-size: 12px;
	font-weight: normal;
	width: auto;
	float: left;
}
#cookiebox .cookie-msg a {
	float: right;
	color: #818181;
	text-decoration: none;
}
#cookiebox .close-bar {
	margin: 0;
	padding: 0;
	text-align: right;
}
#cookiebox a.close-bar {
	width: 100%
}

3) Inserisci lo script jQuery Cookie in Magento

Lo script jQuery Cookie, è uno script jQuery molto semplice da utilizzare che serve per installare cookie tecnici sui siti web. Tramite questo plugin, sarà possibile installare un cookie, per il nostro banner di informativa per i cookie! Mi spiego meglio.

Tramite jQuery Cookie, installeremo un cookie, che permetterà al nostro bannerino di non essere mostrato per un tot di giorni (che impostimao noi) dopo che l’utente avrà accettato l’informativa, cliccando su OK.

Vediamo insieme come inserirlo nel nostro tema Magento. ATTENZIONE: Devei avere integrato jQuery all’interno del tuo tema affinché funzioni.

1) Scarica il file da qui: https://github.com/carhartl/jquery-cookie

2) Prendi il file jquery.cookie.js e caricalo nella cartella js del tuo tema, che dovrebbe essere in SKIN/frontend/PACKAGE/THEME/js/

3) Collega il file al tuo tema, richiamandolo nel file local.xml situato in APP/design/frontend/PACKAGE/THEME/layout/

inserendo all’interno dell’handle <default>, nella <reference name=”head”> il codice che segue:

<action method="addItem"><type>skin_js</type><name>js/jquery.cookie.js</name></action>

4) Inizializziamo il plugin, in un file js aggiuntivo che chiameremo jquery.cookie.popup.js. Possimo posizionare il file sempre in  SKIN/frontend/PACKAGE/THEME/js/ inserendo al suo interno il codice che segue:

// Cookie by Magentiamo.it

// Aggiungo jQury No Conflict per evitare problemi di conflitto
// tra jQuery e Prototype
var $j = jQuery.noConflict();

$j(document).ready(function() {

// Al click sulla "X", nasconde temporaneamente il messaggio

$j('#cookiebox .close-bar').click(function() { 
   $j('#cookiebox').hide();
});

// Al click sul bottone OK
$j('#cookiebox button').click(function() {  

// Imposto il cookie "cookiebox" come attivo, per 12 giorni come da normativa
$j.cookie('cookiebox', 'active', { expires: 12, path: '/' });
     // e nascondo il box, in dissolvenza
     $j('#cookiebox').fadeOut();
});
 
// Con questa condizione, controllo il cookie.
// Se il cookie "cookiebox" è attivo...
if($j.cookie('cookiebox')=='active') {
// nascondo il cookie box
	$j('#cookiebox').hide();
} else {
	// In caso contrario, mostro il popup dopo 2 secondi che la pagina è stata caricata
	$j('#cookiebox').delay(2000).fadeIn();
}
	
});

5) Come prima, collega il file al tuo tema, richiamandolo nel file local.xml situato in APP/design/frontend/PACKAGE/THEME/layout/

inserendo all’interno dell’handle <default>, nella <reference name=”head”> il codice che segue:

<action method="addItem"><type>skin_js</type><name>js/jquery.cookie.popup.js</name></action>

4) Aggiorna la cache

Come di consueto, aggiorniamo la cache da Sistema /Gestione Cache, et voilà! Il popup comparirà nel vostro store!

Sanzioni previste dalla Cookie Law

Le violazioni delle regole su cookie e consenso possono essere sanzionate ai sensi del GDPR:

• fino a 20 milioni di euro o
• fino al 4% del fatturato globale annuo dell’azienda (se superiore).

Il Garante italiano ha già irrogato numerose sanzioni a:

• siti che installavano cookie di profilazione senza consenso;
• banner privi di reale opzione di rifiuto;
• informative incomplete o fuorvianti.

Per questo, l’adeguamento di banner, CMP e documentazione non è solo un adempimento formale: è una misura di risk management e di tutela reputazionale.

Cosa devi fare secondo la Cookie Law (checklist)

Per rispettare la Cookie Law con il tuo sito o e-commerce (Magento compreso), la checklist minima è:

• Mostrare un banner conforme al primo accesso
• Bloccare i cookie non tecnici prima del consenso
• Offrire scelte chiare e granulari: accetta, rifiuta, personalizza
• Fornire una cookie policy aggiornata, trasparente e facilmente accessibile
• Permettere la revoca/modifica del consenso in ogni momento
• Tenere traccia dei consensi raccolti (registro o log CMP)

In molti casi è opportuno farsi supportare da:

• un avvocato esperto in diritto digitale/privacy, per testi e impostazione legale;
• uno sviluppatore o solution architect Magento, per la parte tecnica di blocco, tag, CMP, GTM.

FAQ – Cookies

1. Cosa rischio se non ho un banner cookie sul sito web?
Se utilizzi cookie non tecnici (profilazione, marketing, analitici non anonimizzati, terze parti) senza un banner conforme, rischi:

• sanzioni ai sensi del GDPR (fino a 20 milioni di euro o 4% del fatturato);
• reclami e segnalazioni da parte degli utenti;
• perdita di fiducia e danni alla reputazione del brand.

2. Devo mettere tutte le categorie di consenso obbligatoriamente?
No per i cookie tecnici (non richiedono consenso).
Sì, invece, per:

• cookie di profilazione;
• cookie di marketing;
• cookie analitici non anonimizzati;
• cookie di terze parti non tecnici.

Per queste categorie il consenso deve essere esplicito e separato, idealmente organizzato per categorie nel pannello “Gestisci i cookie”.

3. Come fare un banner cookie a prova di GDPR/Cookie Law?

• mostra il banner al primo accesso;
• non usare caselle preselezionate;
• non impedire la navigazione se l’utente rifiuta i cookie opzionali;
• offri sempre:
  • “Accetta tutti”,
  • “Rifiuta tutti”,
  • “Gestisci”;
• consenti di riaprire il pannello preferenze (es. icona nel footer);
• usa una CMP che registri e conservi la prova del consenso.

4. Perché i cookie sono così importanti per il mio negozio Magento 2?
Perché abilitano:

• personalizzazione dell’esperienza e delle campagne marketing.
• funzionalità essenziali (carrello, login, checkout);
• analisi e ottimizzazione del funnel;

5. Il mio avviso sui cookie non viene visualizzato, cosa posso fare?

• verifica configurazioni Magento;
• controlla che il tema non nasconda il blocco;
• svuota cache;
• controlla errori JS e conflitti con altre estensioni.

6. Ogni quanto devo aggiornare la cookie policy?

• almeno una volta l’anno;
• ogni volta che cambi:
  • strumenti di tracciamento,
  • terze parti,
  • finalità,
  • configurazioni sostanziali dei cookie.

In conclusione

La Cookie Law, il GDPR e le linee guida del Garante non sono solo un obbligo burocratico: sono il quadro di regole che ti permette di:

• usare i dati in modo responsabile;
• costruire fiducia con i tuoi clienti;
• evitare sanzioni e problemi reputazionali.

Per un e-commerce Magento, questo significa:

• configurare correttamente i cookie in Magento 2;
• usare un banner e una CMP conformi;
• scrivere una cookie policy chiara e aggiornata;
• integrare GTM, GA4 e Consent Mode v2 in modo compliant.

Con la giusta combinazione di competenze legali e tecniche puoi trasformare la gestione dei cookie da rischio a leva strategica per un e-commerce solido, trasparente e orientato alle performance.