Il fingerprinting del dispositivo in un mondo post-cookie: la mappa normativa e tecnica del 2026
I cookie di terze parti stanno sparendo e il fingerprinting è più sotto esame che mai. Cosa è cambiato nel 2026, tecnicamente (ITP, Privacy Sandbox) e legalmente (GDPR, ePrivacy), e perché l'antifrode first-party fa storia a sé.
L'espressione «mondo post-cookie» comprime due storie molto diverse in una sola, e la confusione tra le due è all'origine di gran parte dei fraintendimenti sul fatto che il fingerprinting del dispositivo sia ancora praticabile nel 2026. Una storia è tecnica: i browser hanno limitato e poi rimosso i cookie di terze parti, costruendo meccanismi sostitutivi. L'altra è legale: le autorità hanno chiarito che il fingerprinting è governato dalle stesse regole dei cookie. Entrambe le storie sono reali, entrambe contano, ed entrambe vengono spesso interpretate erroneamente come «il fingerprinting è morto», quando ciò che stabiliscono in realtà è molto più specifico.
Questo articolo mappa entrambe — cosa è cambiato nei browser, cosa dice la legge e come le due cose interagiscono — con un filo conduttore costante: è la finalità dell'identificazione, non il meccanismo, a determinare sia la praticabilità tecnica sia la tenuta legale. Il pubblico è composto dagli stakeholder di privacy, legale e ingegneria che devono decidere se e come implementare l'intelligence dei dispositivi.
Cosa ha rimosso realmente il «mondo post-cookie»
La svolta post-cookie ha rimosso i cookie di terze parti — il meccanismo di tracciamento cross-site — lasciando intatti lo stato first-party e l'identificazione del dispositivo first-party. Questa distinzione è il fatto singolo più importante per valutare il fingerprinting, ed è quello che più spesso si perde di vista.
Un cookie di terze parti è impostato da un dominio diverso da quello nella barra degli indirizzi, e permette a quella terza parte di riconoscere un utente su tutti i siti non correlati in cui gira il suo codice. È il motore della pubblicità comportamentale cross-site, ed è ciò che i browser hanno smantellato. Un cookie first-party — impostato dal sito che si sta effettivamente visitando, leggibile solo da quel sito — non è mai stato l'obiettivo e continua a funzionare.
I browser si sono mossi su tempistiche diverse con meccanismi diversi, ma la direzione è stata uniforme: eliminare lo stato cross-site di terze parti, preservare la relazione first-party.
Safari (Intelligent Tracking Prevention). L'ITP di Apple blocca i cookie di terze parti in modo predefinito dal 2020 e ha progressivamente ristretto la durata dello storage first-party impostato via script, per limitare gli aggiramenti del tracciamento. L'ITP prende di mira specificamente il caso d'uso del tracciamento cross-site.
Firefox (Enhanced Tracking Protection / Total Cookie Protection). Firefox blocca in modo predefinito i cookie di tracciamento di terze parti e partiziona lo storage per singolo sito, cosicché una terza parte ottiene un contenitore di cookie separato su ogni sito anziché un'unica identità condivisa su tutti. Anche qui — l'obiettivo è il collegamento cross-site.
Chrome (Privacy Sandbox). Il percorso di Chrome è stato più lungo e più contestato. Anziché limitarsi a bloccare i cookie di terze parti, Google ha costruito la Privacy Sandbox — un insieme di API a finalità delimitata (Topics per i segnali di interesse, Protected Audience per il remarketing, Attribution Reporting per la misurazione delle conversioni) pensate per ottenere risultati pubblicitari senza identificatori cross-site. Il rilascio, la tempistica di deprecazione e lo stato esatto della scelta rivolta all'utente sono cambiati ripetutamente nel corso del 2024–2026, ma l'intento architetturale ha tenuto: sostituire l'identificatore cross-site con meccanismi aggregati e a perimetro di privacy definito. L'impatto specifico sul fingerprinting è trattato in Impatto della Privacy Sandbox.
Ognuno di questi interventi prende di mira la stessa cosa: una terza parte che riconosce un utente su siti che non possiede. Nessuno di essi prende di mira — né potrebbe farlo, senza rompere il web — un sito che riconosce i propri visitatori sulle proprie pagine. È in questo spazio che vive il fingerprinting antifrode.
Il fingerprinting antifrode first-party è un caso d'uso diverso
Il fingerprinting a fini di prevenzione delle frodi è first-party e single-site per natura: una piattaforma identifica i propri visitatori sulle proprie pagine per prendere decisioni di sicurezza. Questo è categoricamente diverso dal caso d'uso pubblicitario cross-site che i browser hanno smantellato, e i meccanismi dei browser non lo limitano — perché non possono, senza rompere funzionalità essenziali su cui ogni sito fa affidamento.
Si consideri cosa dovrebbe rompere un browser per fermare l'identificazione del dispositivo first-party. Dovrebbe impedire a un sito di leggere le caratteristiche del browser che sta renderizzando le sue stesse pagine — dimensione dello schermo, lingua, la temporizzazione e il comportamento di rendering di cui un sito ha bisogno per funzionare, lo stack di rete con cui sta già dialogando. Non sono ganci di tracciamento; sono la superficie di base su cui gira un'applicazione web. Limitarli rompe funzionalità legittime, per cui i browser limitano la combinazione e l'abuso cross-site di questi segnali, non la loro osservazione first-party.
Ecco perché conta la distinzione tra dispositivo e cookie. Un sistema antifrode che identifica un dispositivo di ritorno su un'unica piattaforma non sta ricostruendo un cookie di terze parti — sta facendo qualcosa che i cookie di terze parti comunque non hanno mai fatto bene: produrre un'identità stabile e resistente alla cancellazione, per la finalità di sicurezza propria del sito. E lo fa del tutto senza cookie, il che aggira per intero la questione della deprecazione dei cookie.
Il verdetto sulla praticabilità tecnica è quindi lineare: i cambiamenti dei browser post-cookie riducono il fingerprinting cross-site (più difficile, più limitato) e lasciano il fingerprinting antifrode first-party essenzialmente intatto. Un sistema antifrode che dipendesse dalla condivisione di segnali cross-site sarebbe nei guai; uno costruito attorno all'identità del dispositivo first-party non lo è.
Cosa dicono realmente GDPR ed ePrivacy sul fingerprinting
Il diritto europeo tratta il fingerprinting del dispositivo nello stesso modo in cui tratta i cookie: regola in base alla finalità e all'accesso al dispositivo dell'utente, non in base alla tecnologia specifica. Il fingerprinting non sfugge alle regole per il solo fatto di non essere un cookie, e non vi ricade automaticamente: l'analisi ruota attorno al perché lo si fa.
Si applicano due strumenti, che operano in sequenza.
La Direttiva ePrivacy (Articolo 5, paragrafo 3) governa l'atto di memorizzare informazioni su, o di accedere a informazioni già memorizzate in, l'apparecchiatura terminale di un utente. È la «legge sui cookie», ma il suo testo è neutro rispetto alla tecnologia — riguarda le «informazioni» e l'«accesso», che le autorità (e le linee guida dell'European Data Protection Board) hanno costantemente letto come comprensivi delle tecniche di fingerprinting che accedono alle caratteristiche del dispositivo. Quindi leggere i segnali da un dispositivo rientra nell'ambito dell'ePrivacy indipendentemente dal coinvolgimento di un cookie.
In modo cruciale, l'Articolo 5, paragrafo 3, contiene delle esenzioni. Il consenso non è richiesto quando l'accesso è strettamente necessario o a trasmettere una comunicazione o a fornire un servizio esplicitamente richiesto dall'utente. La sicurezza e la prevenzione delle frodi da cui il servizio richiesto dall'utente effettivamente dipende hanno una base reale per l'esenzione «strettamente necessaria» — un punto su cui si torna più avanti.
Il GDPR governa il trattamento di qualsiasi dato personale che ne risulti. Un fingerprint del dispositivo capace di individuare una singola persona è un dato personale, per cui il suo trattamento necessita di una base giuridica ai sensi dell'Articolo 6. Le basi rilevanti per il lavoro antifrode sono il legittimo interesse (Articolo 6, paragrafo 1, lettera f) — e gli stessi considerando del GDPR nominano esplicitamente la prevenzione delle frodi come legittimo interesse — e, ove applicabile, l'obbligo legale. È qui che vivono le meccaniche dettagliate della compliance: limitazione delle finalità, minimizzazione dei dati, trasparenza, limiti di conservazione e una valutazione documentata del legittimo interesse. La forma concreta di un'implementazione conforme è illustrata in Fingerprinting del dispositivo conforme al GDPR.
I due strumenti si sovrappongono: l'ePrivacy decide se serve il consenso per accedere al dispositivo, il GDPR decide se si dispone di una base giuridica per trattare ciò che si è ottenuto. Per la prevenzione delle frodi, il percorso plausibile è l'esenzione «strettamente necessaria» dell'ePrivacy più il legittimo interesse del GDPR — ma quel percorso ha delle condizioni, e non è automatico.
Il fingerprinting antifrode richiede il consenso?
Dipende dalla finalità, e la distinzione è netta: il fingerprinting a fini pubblicitari, di analytics o di tracciamento cross-site richiede il consenso; il fingerprinting strettamente necessario a un servizio di prevenzione delle frodi richiesto dall'utente ha una base genuina per operare senza lo stesso opt-in. Il meccanismo è identico in entrambi i casi — il trattamento giuridico diverge interamente sul perché.
Per le finalità pubblicitarie e di analytics non c'è argomentazione seria: è esattamente ciò per cui è stato scritto il requisito del consenso dell'ePrivacy, non è strettamente necessario ad alcun servizio richiesto dall'utente, e necessita di consenso preventivo e informato come qualsiasi cookie di tracciamento.
Per la prevenzione delle frodi, la tesi dell'esenzione «strettamente necessaria» è reale ma condizionata. Regge in modo più solido quando:
- Il fingerprinting è genuinamente necessario per erogare un servizio richiesto dall'utente — mettere in sicurezza il suo login, proteggere il suo pagamento, prevenire il furto del suo account. La sicurezza è parte di ciò che l'utente chiede quando usa il servizio.
- Il trattamento è limitato alla finalità di sicurezza e non riadattato per marketing, profilazione o qualsiasi cosa l'utente non abbia richiesto. La limitazione delle finalità svolge qui un lavoro reale; nel momento in cui lo stesso fingerprint alimenta la pubblicità, l'argomentazione dell'esenzione crolla.
- La raccolta dei dati è minimizzata a ciò che serve alla finalità di sicurezza, la conservazione è limitata nel tempo, e il trattamento è documentato e trasparente (dichiarato nell'informativa sulla privacy anche se il consenso non è la base).
Non è una scappatoia e non va trattata come tale. È un'esenzione vincolata alla finalità che sopravvive solo fintanto che la finalità resta delimitata. Un sistema antifrode che condivide silenziosamente i suoi segnali in un grafo pubblicitario non sta più facendo trattamento di sicurezza strettamente necessario, e perde l'esenzione. La posizione duratura è un'implementazione antifrode che è, e resta, esattamente ciò che dichiara di essere: first-party, con finalità di sicurezza, minimizzata e separata dal marketing.
Nulla di tutto ciò è consulenza legale, e l'applicazione esatta dipende dalla giurisdizione, dalle implementazioni nazionali dell'ePrivacy, dalle regole settoriali e dal trattamento specifico — l'analisi qui è la forma normativa generale, e un'implementazione reale necessita di una propria valutazione del legittimo interesse e della revisione di un legale.
L'architettura duratura
L'architettura che sopravvive sia alla svolta tecnica sia a quella legale è quella verso cui il fingerprinting antifrode stava già convergendo: first-party, orientata verso i segnali lato server, con finalità limitata alla sicurezza e indipendente dai meccanismi cross-site.
Dalla mappa qui sopra discendono tre impegni progettuali.
Appoggiarsi ai segnali first-party e lato server. I cambiamenti dei browser limitano più duramente le sonde lato client cross-site. I segnali lato server — fingerprint dello stack di rete, caratteristiche TLS, comportamento della connessione — sono osservati dalla propria infrastruttura mentre l'utente si connette al servizio, sono intrinsecamente first-party e non sono soggetti alle restrizioni lato client che i browser stanno inasprendo. Un sistema orientato verso questi invecchia meglio di uno costruito su sonde lato client che potrebbero essere ridotte.
Mantenere la finalità delimitata e visibile. La tenuta legale dipende interamente dal restare all'interno della finalità di sicurezza. Ciò significa non riadattare i segnali antifrode per il marketing, non costruire un grafo cross-site, dichiarare il trattamento nell'informativa sulla privacy, minimizzare la raccolta e limitare la conservazione. Non sono oneri di compliance aggiunti a posteriori — sono le condizioni in base alle quali l'intero approccio è lecito.
Non dipendere dalla condivisione di segnali cross-site per il verdetto principale. L'intelligence cross-cliente anonimizzata e aggregata può rafforzare il rilevamento, ma l'identità primaria del dispositivo dovrebbe reggersi sui soli segnali first-party, cosicché il sistema non si appoggi ai meccanismi cross-site che sono al contempo limitati tecnicamente e soggetti a consenso legalmente.
Un sistema di fingerprinting antifrode costruito in questo modo è genuinamente post-cookie: non usa cookie, non ne ha bisogno, non fa affidamento sullo stato di terze parti e non va in pezzi quando arriva la prossima funzione di prevenzione del tracciamento — perché non stava facendo tracciamento cross-site fin dall'inizio.
Tracio è costruito esattamente su questa forma. L'identità è first-party e senza cookie, ponderata su segnali di rete lato server e segnali di dispositivo lato client, con finalità limitata alle decisioni di sicurezza e antifrode, e non alimenta un grafo pubblicitario. È progettata per restare stabile attraverso i cambiamenti di privacy dei browser perché non dipende dai meccanismi cross-site che quei cambiamenti prendono di mira. Per le meccaniche di compliance dettagliate, si veda la guida all'implementazione GDPR; il glossario copre i concetti sottostanti.
Vuole vedere come un'identità del dispositivo first-party e con finalità di sicurezza si inserisce nella sua postura di privacy e compliance?
Avvii la prova gratuita — 2.500 verifiche gratuite, senza carta di credito. Prenoti una demo per esaminare l'architettura e il trattamento dei dati con il nostro team.