Torna alla panoramica
CookieCategorieLPD

Categorie di cookie spiegate: necessari, funzionali, statistici, marketing

Quattro categorie che ogni sito dovrebbe conoscere — e che ogni agenzia web deve poter spiegare ai suoi clienti. Cosa rientra, cosa no, e gli errori di classificazione che vedo regolarmente.

Aiara Team··4 min di lettura
Categorie di cookie spiegate: necessari, funzionali, statistici, marketing

«Quale categoria è questo cookie?» — questa domanda emerge in ogni progetto di implementazione. E sorprendentemente spesso la classificazione è errata. Ecco una panoramica chiara delle quattro categorie, con esempi concreti dal quotidiano delle agenzie web svizzere.

Le quattro categorie in panoramica

Cookie necessari

Cookie senza i quali il sito non funziona tecnicamente. Esempi:

  • Cookie di sessione (PHPSESSID, JSESSIONID): identificano la sessione in corso
  • Protezione CSRF (_csrf, XSRF-TOKEN): impediscono Cross-Site-Request-Forgery
  • Carrello (cart_id, basket): obbligatori nei negozi e-commerce
  • Login (auth_token, remember_me): per aree connesse
  • Consenso cookie (cookie_consent, aiara_consent): salva la scelta di consenso
  • Pagamento Stripe (__stripe_mid, __stripe_sid): per la sicurezza dei pagamenti
  • Cloudflare (__cf_bm): protezione bot

Questi cookie non hanno bisogno di consenso ma devono essere menzionati nell'informativa privacy.

Cookie funzionali

Cookie che rendono l'uso più comodo ma non sono tecnicamente obbligatori. Esempi:

  • Preferenza lingua (locale, lang): ricorda la lingua scelta
  • Selezione tema (theme=dark): ricorda modalità chiara/scura
  • Geo-localizzazione (country, region): per contenuti regionali
  • Dimensione font (font_size): impostazione di accessibilità
  • Preferenze banner cookie (banner_dismissed): non mostrare il banner di nuovo

Questi cookie sono al limite: informazione raccomandata, consenso in Svizzera per lo più non obbligatorio, nella prassi GDPR raccomandato.

Cookie statistici

Cookie che raccolgono statistiche del sito. Esempi:

  • Google Analytics 4 (_ga, ga*): tracking sito
  • Matomo (_pk_id, _pk_ses): analitica self-hosted
  • Hotjar (hjSession, hjUser): registrazione sessione
  • Plausible (in configurazione cookie-less senza cookie)
  • Statistiche YouTube Embed (YSC, VISITOR_INFO1_LIVE): se video YouTube incorporati

Questi cookie hanno di solito bisogno di consenso — anche se non direttamente per la pubblicità. La guida IFPDT raccomanda opt-in, la LPD lo vede similmente.

Cookie marketing

Cookie per tracking pubblicitario, targeting e misurazione conversioni. Esempi:

  • Google Ads (_gcl_au, _gcl_aw): tracking conversioni
  • Meta Pixel (_fbp, fr): pubblicità Facebook/Instagram
  • LinkedIn Insight Tag (li_oatml): pubblicità B2B
  • TikTok Pixel (_ttp): pubblicità TikTok
  • HubSpot CRM (__hstc, hubspotutk): marketing automation
  • Salesforce Pardot: tracking lead

Questi cookie hanno obbligatoriamente bisogno di consenso. Possono essere caricati solo dopo opt-in, e il consenso deve essere documentato.

Errori di classificazione più frequenti

Errore 1 — Classificare Google Analytics come «necessario». Alcuni siti lo giustificano con «lo usiamo comunque per le nostre statistiche interne». È sbagliato: la statistica non è necessaria nel senso della funzione tecnica.

Errore 2 — Catalogare cookie di live-chat come «funzionali». Strumenti come Intercom o Drift sono spesso concepiti come strumenti di CRM e generazione lead. Non appena i dati fluiscono al provider per scopi marketing, è marketing — non funzionale.

Errore 3 — Catalogare YouTube embed forfettariamente come «statistico». Chi incorpora un video YouTube carica cookie YouTube. YouTube fa anche tracking utente per Google Ads. Più corretto: trattare come cookie marketing, o meglio: usare youtube-nocookie.com che fa nettamente meno tracking.

Errore 4 — Strumenti A/B test come «statistici». Strumenti come VWO o Optimizely possono essere classificati come statistici se raccolgono solo dati aggregati anonimi. Ma non appena entra in gioco la personalizzazione (segmentazione utenti), diventa marketing.

Albero decisionale di classificazione

Per ogni nuovo cookie porre queste domande:

  1. Il sito funziona senza il cookie?

    • No → Necessario
    • Sì, continuare a 2

  2. I dati vengono trasmessi a terzi?

    • No → Funzionale
    • Sì, continuare a 3

  3. Qual è lo scopo della trasmissione dati?

    • Pura analisi del sito, dati aggregati anonimi → Statistica
    • Tracking pubblicitario, targeting, conversione → Marketing

Nel dubbio: scegliere la categoria più severa. È sempre più sicuro classificare un cookie come marketing e richiedere consenso piuttosto che essere troppo permissivi.

Cosa succede con classificazione corretta

Chi classifica pulito offre agli utenti vera scelta:

  • Rifiuta tutto: vengono impostati solo cookie necessari
  • Solo statistica: necessari + statistici attivati, marketing resta spento
  • Accetta tutto: tutte e quattro le categorie attive

Questa granularità è requisito IFPDT e GDPR. Banner senza questa possibilità di scelta sono considerati insufficienti.

Classificazione nel database cookie di Aiara

Aiara mantiene un database cookie con oltre 1500 cookie noti e la loro classificazione di default. Quando lo scanner trova un cookie noto su un sito, viene automaticamente categorizzato correttamente. Per cookie sconosciuti, il responsabile del sito è invitato a effettuare una classificazione manuale — con le tre domande dell'albero decisionale come aiuto.

Il risultato: meno errori di classificazione, configurazione del banner coerente, e in caso di controllo a campione dell'IFPDT una giustificazione documentata per ogni assegnazione.

Domande frequenti

Quali categorie di cookie esistono?

Nel diritto svizzero della protezione dati si sono affermate quattro categorie: cookie necessari (obbligatori per la funzione tecnica), cookie funzionali (comfort ma non obbligatori), cookie statistici (analitica web) e cookie marketing (tracking pubblicitario). Questa divisione segue la guida IFPDT e la prassi GDPR.

Quali cookie non hanno bisogno di consenso?

I cookie necessari (sessione, protezione CSRF, carrello, login) non hanno bisogno di consenso — sono tecnicamente obbligatori per la funzione del sito. I cookie funzionali (preferenza lingua, tema) sono al limite: informazione di solito sufficiente, consenso non obbligatorio ma raccomandato.

I cookie di Google Analytics sono statistici o marketing?

Per default sono cookie statistici. Ma: non appena Google Analytics è collegato a Google Ads (audiences, tracking conversioni), il trattamento dati diventa marketing. In pratica raccomando di classificare sempre Google Analytics come marketing quando anche Google Ads è in uso.

Come classifico nuovi cookie?

Tre domande: 1. Il sito funziona senza questo cookie? Se no → Necessario. 2. Il cookie è impostato solo per una funzione di comfort senza trasmissione dati a terzi? → Funzionale. 3. I dati vengono trasmessi a terzi? → A seconda dello scopo statistica o marketing.

Cosa succede con classificazione errata?

Classificare un cookie marketing come 'necessario' sarebbe un'elusione dell'obbligo di consenso — in un controllo a campione dell'IFPDT una violazione chiara. Classificare prudentemente: nel dubbio assegnare alla categoria più severa piuttosto che troppo permissiva.

Pronti per un consenso cookie pulito?

Aiara gestisce banner cookie, informativa privacy e impressum del tuo sito — conforme a LPD e GDPR.

Scopri Aiara

Altri articoli

Radar dei rischi secondo l'allegato A IFPDT: valutare sistematicamente i rischi privacy

15 aprile 2026 · 4 min di lettura

Radar dei rischi secondo l'allegato A IFPDT: valutare sistematicamente i rischi privacy

Scanner cookie: come scoprire cosa il vostro sito traccia davvero

3 aprile 2026 · 5 min di lettura

Scanner cookie: come scoprire cosa il vostro sito traccia davvero

7 errori del banner cookie che possono costare cari alle PMI svizzere

25 marzo 2026 · 4 min di lettura

7 errori del banner cookie che possono costare cari alle PMI svizzere