Questo sito contribuisce alla audience di Il Messaggero
Scopri le migliori offerte sul canale Telegram ufficiale. Guarda su Telegram

Cosa sono i cookie

di

Ogni volta che visiti un sito Web ti viene richiesto di fornire il permesso alla memorizzazione dei cookie e, finora, anche se a dirla tutta non hai la più minima idea di cosa significhi questo termine, hai sempre premuto sul pulsante “Accetta tutto” senza indugiare troppo.

Di recente, tuttavia, preso dalla curiosità, hai iniziato a porti diverse domande in merito e a voler approfondire la questione; eccoti dunque qui, intento a leggere uno dei miei articoli. Beh, se le cose stanno effettivamente così come ho detto, il minimo che posso fare è spiegarti proprio cosa sono i cookie.

Non temere: non mi dilungherò in tutti i tecnicismi relativi a questa ricorrente meccanica della navigazione in Rete e cercherò, piuttosto, di rendere comprensibili i vari concetti anche a chi, come forse te, non ha specifiche conoscenze pregresse in materia di browser, server, client e simili. Bando alle ciance ora ed entriamo nel vivo dell'argomento. Ti auguro una buona lettura!

Indice

Cosa sono i cookie e a cosa servono

Cookie

La navigazione in Rete implica un continuo scambio di dati tra i server ossia, in termini poveri, i computer sui quali sono memorizzati siti e altre risorse Web, e i client, ossia i dispositivi che, di volta in volta, richiedono accesso a tali risorse per mezzo di un browser.

Quando, dunque, digiti nella barra degli indirizzi l'indirizzo del sito che vuoi visitare e dai Invio, il tuo browser (ossia il client) inoltra la richiesta di accesso al server del portale in oggetto per mezzo dei protocolli HTTPS/HTTP e il server “risponde” fornendo al browser i dati del sito o della risorsa richiesti.

Tuttavia, in risposta a questi dati, viene inviato al server una sorta di “gettone identificativo” (in forma di stringhe arbitrarie di lettere e numeri e altri elementi ancora) che viene generato con i dati del client che effettua la richiesta. Proprio questo “gettone” è ciò che corrisponde al concetto di cookie Web (o HTTP cookie); si tratta, in sostanza, di semplici pacchetti di informazioni contenuti in file di testo molto piccoli (quindi non parliamo di software “spia” o programmi in grado di eseguire codice su un dispositivo, come sostenuto a volte da chi non ha conoscenza dell'argomento).

I cookie permettono di identificare il client in maniera univoca ed, essendo difficilmente “falsificabili”, possono essere anche utilizzati ai fini dell'autenticazione del client in fase di login. Per usare un'analogia, immagina il tutto come quando un guardarobiere, dopo aver preso in carico il soprabito di un cliente, fornisce a quest'ultimo un gettone; riconsegnando poi quest'ultimo al guardarobiere stesso, il cliente può avere indietro il soprabito (dal momento che il gettone lo identifica in modo univoco).

I cookie, oltre che sui server, vengono memorizzati anche in determinati percorsi sui dispositivi client e sono composti dalla stringa di lettere e numeri citata sopra, da un codice identificativo del sito o della risorsa Web ai quale sono associati e da una data di scadenza che ne determina la validità. Visitando poi nuovamente la stessa pagina o risorsa Web, gli stessi cookie, se scaduti, possono venire aggiornati o “ricreati” da zero, qualora eliminati manualmente (tornerò su quest'ultimo punto più avanti).

Il protocollo HTTP, realizzato ai fini della comunicazione tra server Web e client, è stato poi “adattato” (a partire dalla metà degli anni novanta) per consentire la memorizzazione dei dati tramite cookie e tali dati possono essere a disposizione del server per un lasso di tempo variabile.

Al momento in cui scrivo, nella maggior parte dei casi, i cookie, oltre ai fini dell'autenticazione visti sopra (o alla memorizzazione delle preferenze degli utenti in merito a vari elementi delle piattaforme, es. le opzioni sulla veste grafica), vengono utilizzati per tenere traccia dei modi in cui un utente esplora un dato sito, una piattaforma o una risorsa Web; ad esempio, quali pagine visualizza all'interno del portale, con quale frequenza, quanto dura una visita e così via.

In questo caso, i cookie vengono detti “persistenti” e, alcuni tra essi, hanno la data impostata come valore “sempre valido”: in altre parole, quindi, non scadono mai (è il caso di molti cookie utilizzati per l'autenticazione o per il salvataggio delle preferenze). A oggi, la stragrande maggioranza dei cookie memorizzati dai siti Web scade dopo un certo numero di giorni; mentre una piccola minoranza (circa il 10%) scade dopo alcuni anni.

Da quanto accennato precedentemente, è palese come, fondamentalmente, i cookie utilizzati per memorizzare le preferenze di un utente (es. la lingua impostata come predefinita su un sito) rendano più “agevole” e comoda la navigazione sui vari portali Web, perché utilizzandoli non vi è poi la necessità di reinserire manualmente le preferenze stesse a ogni nuovo accesso ai siti in questione.

Stesso discorso per i cookie impiegati, ad esempio, per memorizzare gli articoli presenti nel carrello virtuale di un utente su un negozio online: se si chiude il browser accidentalmente dopo aver inserito gli articoli nel carrello, basta riaprirlo nuovamente e visitare ancora una volta il portale in questione per ritrovare gli articoli esattamente “al loro posto”. Insomma: si tratta, in tutti i casi, di “strumenti” che, contrariamente a quanto spesso comunemente ritenuto, non hanno nulla di illecito e, come appena accennato, servono a semplificare l'esperienza di utilizzo dell'utente.

Altri tipi di cookie, detti “di sessione”, servono soltanto a memorizzare l'identità del client dal passaggio da una pagina Web all'altra; questi cookie non vengono salvati sul dispositivo client e terminano di essere “operativi” quando si chiude il browser di navigazione.

Cosa sono i cookie di prima parte

Cookie Google

I cookie possono essere classificati, oltre che per la loro durata di validità (come visto sopra), anche per la loro provenienza. Mi spiego meglio: i cookie che vengono inviati direttamente dal server del sito o della risorsa Web espressamente visitati dal client (e, successivamente, vengono da quest'ultimo re-inviati al server con i dati appositi), sono comunemente noti come cookie di prima parte (o anche cookie proprietari).

Questi ultimi sono solitamente impiegati dal sito o dalla risorsa Web stessa per assicurare il proprio regolare funzionamento e per tenere traccia delle preferenze degli utenti che li visitano (es. l'interfaccia grafica selezionata, la propria area geografica di appartenenza ecc.); così come anche dei dati relativi alle sessioni di utilizzo (es. la loro durata, quali pagine vengono visualizzate ecc.).

In quest'ultimo caso, i cookie possono essere utilizzati dai gestori dei siti per determinare varie statistiche (sono infatti detti "cookie statistici) e ottimizzare vari aspetti dei siti stessi. Appartengono alla categoria dei cookie di prima parte sia i cookie persistenti sia quelli di sessione.

Cosa sono i cookie di terze parti

Cookie di terze parti

I cookie di terze parti, invece, sono quelli che vengono inviati al client da siti e risorse Web differenti da quelli che si è espressamente scelto di visitare. Solitamente, questi cookie vengono impiegati da inserzionisti e aziende che operano nel campo pubblicitario al fine di proporre sui siti (che si sceglie intenzionalmente di visitare) che ospitano spazi pubblicitari, banner e annunci personalizzati in base alla cronologia di navigazione dell'utente.

In sostanza, gli inserzionisti, grazie ai cookie di terze parti, riescono a “ricostruire” la cronologia di navigazione degli utenti e a creare in base a quest'ultima un profilo dei loro gusti e interessi da impiegare per proporre agli stessi pubblicità personalizzata. In questo caso, dunque, si evita la spiacevole condizione di essere continuamente sottoposti a pubblicità completamente “casuale” e generica alla quale non si è quasi mai interessati.

Come probabilmente sai già, del resto, i ricavi generati dalla pubblicità sono indispensabili a tanti portali e servizi Web per continuare a restare online a disposizione dell'utenza e a proporre a quest'ultima sempre nuovi contenuti. Altresì, è bene stare in guardia dai cookie eccessivamente “invasivi” (nei quali ci si imbatte spesso su portali poco affidabili e sicuri), ma non bisogna demonizzare e rifiutare a prescindere questi strumenti, perché senza molti servizi e portali sarebbero insostenibili economicamente.

Ad ogni modo, quando si visita un sito, si può espressamente scegliere di non fornire il permesso di utilizzo dei cookie di terze parti (tornerò nuovamente su questo punto più avanti). Il gestore di un sito, inoltre, come stabilito dal Garante della privacy, ossia l'autorità amministrativa indipendente italiana che assicura la tutela dei diritti e delle libertà fondamentali nell'ambito del trattamento dei dati personali, deve anche implementare sul sito stesso un sistema in grado di bloccare l'utilizzo dei cookie di terze parti fino alla ricezione effettiva del permesso all'utilizzo degli stessi cookie da parte del visitatore.

Infine, va detto anche che i cookie di terze parti potrebbero anche contenere informazioni personali (appositamente criptate) ma soltanto se l'utente ha espressamente scelto di fornire le stesse.

Cosa sono i cookie di profilazione

Cookie di profilazione

Con cookie di profilazione si fa generalmente riferimento alla stessa tipologia di cookie di terze parti della quale ti ho parlato nel corso del capitolo precedente. Si tratta di cookie utilizzati in ambito pubblicitario per “profilare” un determinato utente, ossia tracciarne un ideale profilo dei gusti e degli interessi in modo da selezionare in base a questi ultimi gli annunci pubblicitari da proporre all'utente stesso.

Il profilo ideale creato in questo modo è comunque “anonimo”, non contiene dati personali o sensibili (a meno che, come già detto, non si è scelto espressamente di fornirli) e non permette di risalire all'identità dell'utente. I siti Web sono tenuti da quanto stabilito dal Garante della privacy a chiedere al visitatore il consenso a usare questo tipo di cookie (visto che non si tratta di dati indispensabili ai fini della regolare navigazione sul sito).

A volte, i cookie di profilazione possono anche essere utilizzati per fini propri dai siti stessi che si sceglie di visitare. In questo caso, chiaramente, questi cookie rientrano nella categoria “di prima parte”.

Cosa sono i cookie tecnici

Cookie tecnici

I cookie tecnici rientrano nell'ambito dei cookie di prima parte dei quali ti ho parlato precedentemente. Si tratta di quei pacchetti di dati inviati “di rimando” dal client al server che ospita un dato sito o una risorsa Web e permettono la regolare e agevole fruizione dei siti e delle risorse stessi.

Grazie a questi cookie, ad esempio, non si ha la necessità di specificare le proprie preferenze in merito alle opzioni di utilizzo messe a disposizione su un determinato portale: ad esempio se su un sito hai impostato la modalità “scura” dell'interfaccia, quest'ultima sarà mantenuta attiva ogni volta che visualizzerai il sito stesso. Nel caso delle preferenze memorizzate, i cookie tecnici vengono anche detti “funzionali”. Allo stesso modo, grazie ai cookie tecnici, su alcune piattaforme non devi effettuare il login ogni volta che effettui l'accesso su di esse.

Cosa sono i cookie analitici

Cookie analitici

Mi chiedi cosa sono i cookie che vengono solitamente detti “analitici”? Questi ultimi corrispondono a una sottocategoria di quelli dei quali ti ho parlato già nel corso di questo capitolo. Si tratta di cookie di prima parte che i gestori dei siti e delle piattaforme Web possono utilizzare per determinare alcune statistiche di utilizzo dei loro portali.

In questo modo, ad esempio, è possibile ottenere dati su quali sono le fasce orarie e i giorni della settimana nei quali avviene la maggiore affluenza di visitatori su un dato sito o su quali sono le pagine Web più visualizzate sul portale in questione.

Si tratta, dunque, di strumenti davvero utili per chi gestisce un portale o un blog perché interpretando questi dati nel modo corretto si ha, potenzialmente, la possibilità di massimizzare le visite degli utenti e proporre contenuti sempre più “efficaci” e graditi agli utenti stessi.

Cosa sono i cookie del browser

Chrome Windows

A oggi, la maggior parte dei browser di navigazione Web, ossia quei programmi che permettono di “esplorare” la Rete e visualizzare le pagine di cui essa è composta, include opzioni (di solito presenti nel menu delle impostazioni relative alla privacy di questi software) per abilitare o disabilitare (interamente o parzialmente) l'invio dei cookie dal client (ovvero il browser) al server.

Sfruttando queste opzioni, ad esempio hai la possibilità di bloccare automaticamente i cookie di terze parti o, volendo, anche quelli di prima parte. In quest'ultimo caso, ti suggerisco comunque di mantenere questi ultimi attivi perché, in caso contrario, con tutta probabilità sarà proprio la tua esperienza di navigazione a risentirne (dovrai di volta in volta effettuare i login su tutte le piattaforme, il carrello degli acquisiti sui negozi online non verrà salvato e così via).

Se sei ulteriormente interessato ad approfondire l'argomento, ti rimando alle mie guide su come abilitare e disabilitare i cookie. Come detto già, i cookie vengono memorizzati dal browser in alcuni percorsi specifici del disco di sistema del computer sul quale è installato e, se ti stai chiedendo cosa sono i cookie e come si cancellano, devi sapere che quest'ultima operazione è solitamente effettuabile dalle impostazioni dei browser relative ai cookie stessi o alla privacy.

Per maggiori dettagli al riguardo, ti invito a leggere i miei tutorial su come eliminare i cookie, come cancellare i cookie dal cellulare.

Cosa sono i cookie policy

Cookie privacy

Come già accennato, l'utilizzo dei cookie è regolamentato in Italia in base a quanto disposto dal Garante della la privacy (noto anche come Garante per la Protezione dei Dati Personali o GPDP) in un testo del 2014 (e aggiornato nel 2021). Tale testo è basato sull'articolo 122 del Codice della Privacy che stabilisce, in sostanza, che i dati originati dal tracciamento del profilo di un utente possono essere utilizzati soltanto se questi ha espressamente acconsentito a ciò.

Ne deriva, dunque, che chi impiega i cookie deve fornire all'utente informazioni precise in merito alla natura dei cookie stessi alle relative finalità di utilizzo. Proprio per questa ragione, dunque, quando visiti un sito o una risorsa Web viene, di norma, visualizzato un avviso riguardante tali argomenti; l'avviso in questione, o meglio, la sua versione “estesa” (che può essere letta per intero in modo chiaro) è detta cookie policy di un dato sito o risorsa Internet.

All'utente deve quindi essere garantita la possibilità di accettare o rifiutare l'uso di ogni singola tipologia dei cookie utilizzati da fini differenti da quelli natura tecnica (quindi il consenso è sempre necessario e obbligatorio per i cookie di profilazione e, in generale, per i cookie di terze parti). Chi non si allinea alle direttive previste da questa normativa rischia, chiaramente, di incappare in pesanti sanzioni.

Sono altresì proibite le pratiche che rendono implicito il consenso ai cookie di terze parti e quelle che rendono i siti o le risorse Web “illeggibili” (per la presenza di finestre ingombranti o altri elementi "di copertura visiva) agli utenti che scelgono di rifiutare l'uso dei cookie.

Il banner di dimensioni ridotte riguardante i cookie che viene visualizzato all'apertura di un sito Web è detto “Informativa breve” e non può, in nessun modo, essere graficamente simile alle pagine del sito stesso. In questo banner devono essere riportati un avviso in merito alla presenza o meno dei cookie di profilazione di terze parti sul sito visitato, le apposite opzioni per abilitare o disabilitare tali cookie e il link all'informativa “estesa”.

In quest'ultima, invece, vanno riportate tutte le informazioni richieste dall'articolo 13 del GDPR (o RGPD, ossia il Regolamento Generale sulla Protezione dei Dati dell'Unione Europea).

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.