Obbligo del banner cookie in Svizzera: cosa vale davvero nel 2026

La domanda emerge in ogni sessione di consulenza: «Ho davvero bisogno di un banner cookie?» E a seconda dell'interlocutore, sento tre risposte completamente diverse. L'agenzia web dice «certo, tutti ne hanno uno». L'avvocato dice «dipende». Il direttore dice «voglio sia il più discreto possibile». Hanno tutti ragione da qualche parte — ma la sobria realtà giuridica è più concreta di quanto sembri a prima vista.

La situazione giuridica in Svizzera — breve e chiara

La LPD rivista non menziona i cookie nominalmente. Parla del trattamento di dati personali e del fatto che questo trattamento debba essere trasparente. I cookie sono tecnicamente piccoli file di testo memorizzati nel browser. Quando un cookie contiene un identificativo univoco e quindi il comportamento può essere ricondotto, è un trattamento di dati personali — coperto dalla LPD.

La seconda fonte rilevante è l'art. 45c della legge sulle telecomunicazioni (LTC). Obbliga i gestori di siti a informare gli utenti sul trattamento tramite cookie e a dare loro la possibilità di rifiutare. In pratica la LTC ha pochi denti — finora ci sono stati a malapena procedimenti penali su questa base.

La terza fonte, attualmente la più importante, è la raccomandazione dell'IFPDT del febbraio 2024. Formula chiaramente come l'IFPDT intende un'informazione cookie corretta: approccio a strati con primo livello informativo, elenco preciso dei cookie al secondo livello, pulsanti equivalenti per accettare e rifiutare.

Quando un banner è obbligatorio?

La regola pratica semplice: se il vostro sito imposta cookie non necessari al funzionamento, avete bisogno di un banner di consenso.

Concretamente:

• Cookie necessari (sessione, carrello, login, CSRF): nessun banner necessario, ma una menzione nell'informativa privacy.
• Cookie funzionali (preferenza lingua, tema, filtri salvati): raccomandazione di informazione, consenso consigliato ma non obbligatorio.
• Cookie statistici (Google Analytics, Matomo, Plausible): consenso raccomandato — Plausible tecnicamente possibile senza cookie.
• Cookie marketing (Meta Pixel, Google Ads, Hotjar): consenso obbligatorio.

In pratica: chi ha anche un solo cookie marketing o statistico ha bisogno di un banner di consenso pulito. Siti senza tracking — ad esempio un mero biglietto da visita senza analytics — possono farne a meno ma dovrebbero comunque avere un'informativa privacy.

Il tema GDPR che molte PMI trascurano

Un errore frequente: «Siamo un'azienda svizzera, quindi solo la LPD ci riguarda.» Vero, finché vi rivolgete specificamente al mercato svizzero. Ma non appena indirizzate attivamente clientela UE — ad esempio tramite spedizione di prodotti in Germania, annunci in tedesco in Austria o newsletter con abbonati francesi — il GDPR entra in gioco per quei visitatori.

Cosa significa concretamente? Il banner GDPR pone standard più severi della LPD. In particolare:

• Il consenso deve essere opt-in (non preselezionato attivo)
• «Rifiuta» deve essere ugualmente accessibile
• Il consenso deve essere documentato (log del consenso)
• Il consenso deve essere revocabile (con la stessa facilità con cui è stato dato)

Chi vuole coprire entrambi i mondi costruisce il banner secondo lo standard GDPR. È anche la raccomandazione dell'IFPDT — soddisfare requisiti più severi soddisfa automaticamente quelli più miti.

La raccomandazione IFPDT in dettaglio

La raccomandazione del 2024 è sorprendentemente pratica. Propone un «approccio a strati»:

Primo livello — il banner stesso. Deve mostrare:

• Quali tipi di cookie sono usati
• Chi sono i destinatari (anche terzi)
• Come il consenso può essere concesso o rifiutato
• Un link a informazioni dettagliate

Secondo livello — la pagina di dettaglio cookie. Deve elencare:

• Ogni singolo cookie con nome, fornitore, finalità, durata di conservazione
• Possibilità di scegliere categoricamente o singolarmente
• Riferimenti alle informative privacy di terzi

In pratica, livelli 1 e 2 spesso si fondono in una logica modale: banner in basso, clic su «Impostazioni» apre la vista dettagliata. È accettabile finché l'accesso alla vista dettagliata è intuitivo.

Tre esempi pratici dal quotidiano svizzero

Esempio 1 — Sito di ristorante locale. Pagina statica, Google Maps incorporato, nient'altro. Maps imposta un cookie. Raccomandazione: banner con informazione e possibilità di disabilitare Maps. In pratica si carica Maps solo dopo il consenso — fino ad allora si mostra una mappa statica o un placeholder.

Esempio 2 — Agenzia web con CRM HubSpot. Tracking HubSpot, Google Analytics, Meta Pixel. Un banner cookie professionale è qui indispensabile — senza consenso, nessuno di questi strumenti deve caricare.

Esempio 3 — Negozio online svizzero con spedizione DACH. Il GDPR interviene. Il banner deve essere conforme GDPR, i cookie marketing possono essere caricati solo dopo opt-in esplicito. Il log del consenso è obbligatorio — per le richieste d'accesso deve essere dimostrabile quando il cliente ha acconsentito a quale trattamento.

Conseguenze in caso di violazione

L'IFPDT ha iniziato nel 2025 a controllare i siti in modo più mirato. In caso di violazione viene prima emessa una raccomandazione informale di adattamento. Chi ignora o corregge parzialmente rischia una raccomandazione formale che può essere resa pubblica. In caso di recidiva, minacciano azioni penali — con la conseguenza che la persona fisica responsabile della violazione può essere chiamata fino a CHF 250'000.

Reputazionalmente, il danno è spesso maggiore della sanzione finanziaria. Una raccomandazione pubblica dell'IFPDT contro una PMI rimane consultabile sul web — e i clienti prestano sempre più attenzione all'igiene della protezione dei dati.

Conclusione per il 2026

L'obbligo del banner cookie in Svizzera non è binario «sì o no». Dipende da quali cookie e strumenti di tracking sono effettivamente usati. Ma non appena qualcosa oltre alla funzionalità di sessione gira, un banner di consenso pulito con approccio a strati è obbligatorio — non una questione di stile.

Chi vuole risolvere questo pragmaticamente ha due opzioni: far costruire un proprio banner (costoso, manutenzione intensa) o utilizzare una soluzione pronta come Aiara che funziona conforme LPD e GDPR fuori dalla scatola. Aiara rileva automaticamente quali cookie il vostro sito imposta e adatta il banner inclusa la pagina di dettaglio di conseguenza.