Cookie banner per negozi online in Svizzera: configurare correttamente Shopify, WooCommerce & Co.
I negozi online tracciano più di qualsiasi sito vetrina: conversioni pubblicitarie, retargeting, fornitori di pagamento, widget di recensioni. Perché quasi ogni negozio svizzero deve rispettare anche il GDPR, quali cookie sono tipici — e come configurare concretamente il cookie banner in Shopify, WooCommerce e altri sistemi di e-commerce.

Un sito aziendale con un modulo di contatto se la cava spesso con una manciata di cookie. Un negozio online no: i pixel pubblicitari misurano le conversioni, i servizi di retargeting seguono in tutto il web chi abbandona il carrello, i fornitori di pagamento impostano cookie di sicurezza, i widget di recensioni caricano script da server di terzi. E chi vende nell'UE deve quasi sempre rispettare, oltre alla legge svizzera sulla protezione dei dati, anche il Regolamento generale europeo sulla protezione dei dati. Questo articolo mostra perché ai negozi online si applicano criteri più severi, quali cookie e servizi sono tipici — e come configurare concretamente il cookie banner in Shopify, WooCommerce e altri sistemi di e-commerce.
Perché i negozi online hanno più obblighi dei siti vetrina
La differenza non sta nella legge — valgono le stesse regole di qualsiasi altro sito web. La differenza sta in ciò che un negozio fa tecnicamente. Tre punti spiegano il divario:
Primo: i negozi tracciano molto di più. Un negozio online svizzero medio imposta ben 40 cookie — un sito biglietto da visita arriva a 8-10. Il motivo è lo stack di marketing: monitoraggio delle conversioni per Google Ads e Meta, pixel di retargeting per chi abbandona il carrello, strumenti di e-mail marketing con un proprio tracciamento dei visitatori, widget di recensioni, chat dal vivo. Ognuno di questi servizi porta con sé i propri cookie — e la maggior parte è soggetta a consenso, cioè può caricarsi solo dopo un clic su «Accetta».
Secondo: quasi ogni negozio è rilevante per il GDPR. Qui entra in gioco il cosiddetto principio del luogo di mercato: il Regolamento generale sulla protezione dei dati si applica a ogni azienda che si rivolge in modo riconoscibile a clientela nell'UE — indipendentemente dalla sede. Chi consegna in Germania o Austria, mostra prezzi in euro o gestisce un dominio .de soddisfa di regola questo criterio. Per i negozi svizzeri questo significa: non vale solo il diritto svizzero, più mite, ma in aggiunta il regolamento europeo, più severo — con l'obbligo di consenso attivo prima ancora che gli script di marketing si carichino. La nostra guida al GDPR spiega nel dettaglio cosa comporta.
Terzo: la dichiarazione sulla protezione dei dati richiede le indicazioni e-commerce. Un negozio trasmette dati personali a molti più destinatari di un sito vetrina: al fornitore di pagamento (Stripe, PostFinance, Twint), ai partner di spedizione come la Posta o DHL, spesso a un fornitore per la verifica della solvibilità in caso di acquisto su fattura, oltre al servizio di newsletter e all'hosting del negozio. Tutti questi flussi di dati devono figurare nella dichiarazione sulla protezione dei dati — inclusa l'indicazione del Paese verso cui fluiscono i dati. La nostra guida passo per passo mostra come costruire una dichiarazione completa.
Cookie e servizi tipici nei negozi online svizzeri
La panoramica seguente mostra ciò che emerge più spesso dalle scansioni dei negozi — e come classificare i servizi:
| Servizio | Cookie tipici | Finalità | Categoria |
|---|---|---|---|
| Meta Pixel | _fbp, _fbc | Retargeting, misurazione conversioni | Marketing |
| Google Ads | _gcl_au, _gcl_aw | Monitoraggio conversioni | Marketing |
| TikTok Pixel | _ttp, ttwid | Retargeting, misurazione conversioni | Marketing |
| Google Analytics | _ga, ga* | Statistiche del negozio | Statistica |
| Klaviyo | __kla_id | E-mail marketing, carrelli abbandonati | Marketing |
| Mailchimp | mailchimp_landing_page | Attribuzione newsletter | Marketing |
| Stripe | __stripe_mid, __stripe_sid | Prevenzione frodi nel pagamento | Necessario |
| PostFinance / Twint | Cookie di sessione | Elaborazione del pagamento | Necessario |
| Trusted Shops | Cookie del widget | Recensioni, badge di protezione acquirenti | Funzionale |
| Sistema di e-commerce | Cookie di carrello e sessione | Carrello, login, checkout | Necessario |
La distinzione più importante sta nella colonna di destra. I cookie di pagamento sono tecnicamente necessari: senza i cookie di sicurezza e di sessione di Stripe, PostFinance o Twint nessun pagamento va a buon fine — per questo possono essere impostati senza consenso. Lo stesso vale per i cookie di carrello e di login del sistema di e-commerce. I pixel pubblicitari sono l'esatto contrario: Meta Pixel, Google Ads e TikTok Pixel servono esclusivamente al marketing e possono caricarsi solo quando la visitatrice ha acconsentito attivamente. Un banner che attiva questi script già prima del consenso non è una formalità: è l'errore di conformità più frequente in assoluto nei negozi online.
I widget di recensioni come Trusted Shops si collocano nel mezzo: il badge in sé è funzionale, ma a seconda della configurazione i dati fluiscono verso il fornitore — qui vale la pena dare un'occhiata al rapporto di scansione per vedere quali cookie imposta concretamente il widget.
Un caso particolare sono gli strumenti di e-mail marketing come Klaviyo o Mailchimp, perché richiedono due consensi distinti che nella pratica vengono spesso confusi: l'iscrizione alla newsletter con e-mail di conferma copre solo l'invio di e-mail. Il tracciamento dei visitatori degli stessi strumenti sul sito del negozio — per esempio il riconoscimento di chi abbandona il carrello per e-mail di promemoria automatiche — non ne fa parte e richiede il consenso tramite il cookie banner. Chi carica lo script di tracciamento di Klaviyo senza chiedere, perché «i clienti hanno comunque sottoscritto la newsletter», confonde i due livelli.
Configurazione per piattaforma
Shopify
Per Shopify, Aiara offre un'integrazione senza installazione di app: uno snippet Liquid che salvate come snippet separato nell'editor di codice del tema, completate con il vostro ID di dominio e integrate prima del tag di chiusura </head> in theme.liquid. Il banner appare poi automaticamente su tutte le pagine del negozio — dal catalogo prodotti alla conferma dell'ordine. Trovate le istruzioni e il download sulla pagina Shopify.
Vale la pena conoscere due particolarità di Shopify. Primo: Shopify dispone di una propria interfaccia per i segnali di consenso, la Customer Privacy API, ascoltata dalle funzioni proprie di Shopify e da una parte delle app dell'App Store — conviene verificare quali delle vostre app installate rispettano questi segnali e quali caricano i loro script indipendentemente. Secondo: l'App Store stesso è la maggiore fonte di tracciamento: ogni app di recensioni, upsell o e-mail può portare con sé i propri cookie e pixel. Per questo, dopo ogni installazione di un'app, una nuova scansione dei cookie deve figurare nella checklist.
WooCommerce (WordPress)
Per i negozi WooCommerce la configurazione passa dal plugin Aiara della directory ufficiale di WordPress: installare il plugin, inserire l'ID del dominio, fatto. Il plugin blocca automaticamente gli script soggetti a consenso finché il consenso non viene dato — i cookie di carrello e di sessione tecnicamente necessari di WooCommerce continuano a funzionare indisturbati, quindi il checkout funziona anche se il banner viene rifiutato. Dettagli e download sulla pagina WordPress.
La tipica trappola di WooCommerce è lo zoo di plugin: un negozio WooCommerce medio ha installati da 20 a 30 plugin, e molti di essi — page builder, plugin per moduli, feed di social media, estensioni di analisi — impostano cookie propri di cui il gestore del negozio non sa nulla. Una scansione automatica dopo ogni aggiornamento importante dei plugin rivela cosa si è insinuato.
Altri sistemi di e-commerce
Per tutti gli altri sistemi — Magento, PrestaShop, Shopware o una soluzione su misura di un'agenzia — funziona lo snippet universale: una sola riga di script prima del tag di chiusura </head> nel template, e il banner è operativo. Poiché lo snippet è puro JavaScript senza dipendenze, il sistema sottostante non ha alcuna importanza. L'unica cosa che conta è che la riga venga distribuita su tutte le pagine — incluso il checkout, dove molti template usano un layout separato e ridotto.
Senza Google Consent Mode V2 perdete dati di conversione
Per i negozi che fanno pubblicità un punto è critico per il business: da marzo 2024 Google richiede segnali di consenso secondo lo standard Google Consent Mode V2 per gli utenti dello Spazio economico europeo. Se questi segnali mancano, Google non elabora più dati di conversione — le vostre campagne Google Ads girano allora alla cieca: il monitoraggio delle conversioni crolla, le offerte automatiche perdono la loro base di dati e le liste di remarketing non si riempiono più.
Un banner configurato correttamente risolve il problema: trasmette a Google i segnali appropriati a ogni decisione di consenso. Se la visitatrice accetta, il tracciamento funziona normalmente; se rifiuta, Google compensa statisticamente una parte dei dati mancanti con conversioni modellizzate — così mantenete una base di dati affidabile anche in caso di rifiuti. Come funziona nel dettaglio il Google Consent Mode V2 e a cosa prestare attenzione nella configurazione è spiegato nel nostro articolo sul Google Consent Mode V2.
Checklist: cookie banner per il lancio del negozio
Prima della messa online — o come audit di un negozio già attivo — questi punti dovrebbero essere spuntati:
- Scansione completa dei cookie su tutti i tipi di pagina: home page, pagine prodotto, carrello e checkout — proprio nel checkout compaiono i cookie di pagamento
- Categorizzazione verificata: cookie di pagamento e carrello come necessari, tutti i pixel pubblicitari come marketing
- Blocco prima del consenso: gli script di marketing si caricano in modo dimostrabile solo dopo il clic su «Accetta» — da controllare in finestra di navigazione in incognito con gli strumenti per sviluppatori del browser
- Google Consent Mode V2 attivo, se sono in uso Google Ads o Google Analytics
- Dichiarazione sulla protezione dei dati con indicazioni e-commerce: fornitore di pagamento, partner di spedizione, eventuale verifica della solvibilità, servizio di newsletter
- Banner in tutte le lingue del negozio — chi vende in francese ha bisogno del banner in francese
- Rifiutare è semplice quanto accettare — niente link nascosti, niente caselle preselezionate
- Processo per le modifiche: dopo ogni nuova app, ogni nuovo plugin e ogni nuovo canale pubblicitario si esegue una nuova scansione
Cosa si rischia senza banner?
La legge svizzera sulla protezione dei dati prevede multe fino a CHF 250'000 per violazioni intenzionali — dirette non contro l'azienda, ma contro la persona responsabile, tipicamente la direzione. Con il Regolamento generale sulla protezione dei dati il quadro arriva fino a 20 milioni di euro o al 4 per cento del fatturato annuo mondiale, e le autorità di controllo dell'UE possono agire anche contro negozi svizzeri che servono clientela dell'UE.
Per la maggior parte dei negozi, tuttavia, è più realistico un altro scenario rispetto alla multa massima: le diffide dalla Germania. Chi consegna lì può ricevere diffide a pagamento da concorrenti o associazioni di tutela dei consumatori se il tracciamento gira senza consenso — un modello di business consolidato che colpisce regolarmente i commercianti svizzeri. A ciò si aggiunge il danno reputazionale: una clientela che affida a un negozio i propri dati di pagamento reagisce ai titoli sulla protezione dei dati con più sensibilità che altrove.
La buona notizia: lo sforzo per una configurazione pulita è contenuto. Integrare lo snippet o il plugin, avviare la scansione, verificare le categorie, attivare il Google Consent Mode V2 — e un negozio online svizzero è di regola conforme in un pomeriggio.
Domande frequenti
Il mio negozio Shopify in Svizzera ha bisogno di un cookie banner?
Sì, praticamente sempre. Non appena sono attivi servizi soggetti a consenso — pixel pubblicitari, strumenti statistici, e-mail marketing — serve un banner. Per i negozi online è la norma: già la combinazione standard di Google Ads, Meta Pixel e uno strumento per newsletter non è ammissibile senza consenso non appena è coinvolta clientela dell'UE. La legge svizzera sulla protezione dei dati richiede inoltre trasparenza su tutti i servizi utilizzati.
I cookie di pagamento di Stripe, PostFinance o Twint richiedono il consenso?
No. I cookie necessari per l'elaborazione sicura del pagamento e la prevenzione delle frodi sono considerati tecnicamente necessari e possono essere impostati senza consenso — senza di essi l'acquisto non andrebbe nemmeno a buon fine. Devono comunque figurare nell'elenco dei cookie del banner e nella dichiarazione sulla protezione dei dati, con l'indicazione del fornitore di pagamento.
Il GDPR si applica al mio negozio online svizzero?
Quasi sempre. Non appena vi rivolgete in modo riconoscibile a clientela nell'UE — per esempio con consegne in Germania o Austria, prezzi in euro o un dominio .de — si applica il principio del luogo di mercato del Regolamento generale sulla protezione dei dati, anche senza una sede nell'UE. Questo significa: consenso attivo prima del caricamento degli script di marketing e niente caselle preselezionate.
Come configuro un cookie banner in WooCommerce?
Il modo più semplice è un plugin dalla directory ufficiale di WordPress: installare il plugin, inserire l'ID del dominio, fatto. Il plugin Aiara blocca automaticamente gli script di marketing finché non viene dato il consenso — i cookie di carrello e di sessione di WooCommerce continuano a funzionare come cookie tecnicamente necessari.
Il mio monitoraggio delle conversioni di Google Ads funziona ancora con un cookie banner?
Sì — con Google Consent Mode V2. Il banner comunica a Google lo stato del consenso; da marzo 2024 Google non elabora più dati di conversione degli utenti dello Spazio economico europeo senza questi segnali. In caso di rifiuto, Google compensa una parte dei dati mancanti con conversioni modellizzate.
Pronti per un consenso cookie pulito?
Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.
Scopri AiaraAltri articoli

5 luglio 2026 · 8 min di lettura
Registro dei consensi: per quanto tempo conservare i consensi ai cookie?

3 luglio 2026 · 8 min di lettura
Contratto di trattamento dei dati su commissione in Svizzera: quando serve — con checklist

23 giugno 2026 · 9 min di lettura