Torna al blog
5 min di letturaLaw & Regulationprivacygdprcompliancetracking

Consent Mode v2 e la Fine di Google Signals a Giugno 2026

Il 15 giugno 2026 ad_storage diventa l'unico controllo sui dati pubblicitari nello stack di Google. Ecco cosa cambia la fine di Google Signals per gli sviluppatori — e perché tutto questo macchinario è qualcosa che un'analytics senza cookie non ha mai dovuto costruire.

Izac CavalheiroFounder

Il 15 giugno 2026 Google rimuove Google Signals come controllo indipendente sui dati pubblicitari. Dopo quella data, il segnale di consenso ad_storage inviato dalla tua Consent Management Platform (CMP) diventa l'unico cancello che decide se i dati a livello di visitatore raggiungono Google Ads. Se la tua CMP è configurata male, non esiste più un'impostazione lato server in Analytics a intercettare l'errore.

È un cambiamento silenzioso ma significativo. Sposta l'intero peso della correttezza del consenso su uno strato JavaScript che gira nel browser del visitatore, prima che venga raccolto qualsiasi dato. Vale la pena capire esattamente cosa fa questo strato, perché è precisamente la complessità che un design senza cookie non comporta mai.

Cos'è davvero Consent Mode v2

Consent Mode v2 è il framework di Google per comunicare ai suoi tag se sono autorizzati a usare lo storage. Non è un banner di consenso — è il cablaggio tra il tuo banner e i tag di Google. La tua CMP imposta quattro segnali:

gtag('consent', 'default', {
  ad_storage: 'denied',
  analytics_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
});
  • ad_storage controlla i cookie pubblicitari, gli identificatori di dispositivo e i dati a livello di visitatore inviati a Google Ads.
  • analytics_storage governa il cookie di Analytics che assegna un client ID.
  • ad_user_data consente l'hashing di dati first-party come l'email per Enhanced Conversions.
  • ad_personalization decide se i dati di Analytics alimentano il targeting pubblicitario personalizzato.

Quando il visitatore accetta, la tua CMP attiva una seconda chiamata che aggiorna i segnali pertinenti a granted. Tutto ciò che segue dipende dal corretto arrivo di quell'aggiornamento.

Basic vs. advanced, e perché esiste advanced

Esistono due modalità di implementazione, e la differenza conta a livello legale.

In modalità basic, i tag di Google non si caricano affatto finché il consenso non viene concesso. In caso di rifiuto, non viene inviato nulla.

In modalità advanced, i tag si caricano immediatamente con tutti i segnali su denied come default, e inviano comunque cookieless pings a Google — una richiesta senza identificatori, senza client ID e senza stato memorizzato. Google usa il volume di questi ping, più il comportamento della minoranza che acconsente, per modellare le conversioni che non può osservare direttamente.

La modalità advanced esiste perché i tassi di consenso sono bassi e gli inserzionisti vogliono indietro i loro numeri. Ma un cookieless ping inviato prima del consenso è comunque una trasmissione di dati a terzi, e la lettura tecnologicamente neutra dell'Articolo 5(3) della ePrivacy da parte dell'EDPB non esonera le richieste solo perché omettono un cookie. Le conversioni modellate richiedono inoltre un insieme minimo di sessioni con consenso per produrre qualcosa di affidabile, quindi i siti piccoli ottengono rumore.

Cosa rimuove la fine del 15 giugno

Finora Google Signals fungeva da secondo cancello. Potevi lasciarlo disattivato in Analytics per limitare la condivisione dei dati pubblicitari indipendentemente da ciò che riportava il Consent Mode. Quel backstop è scomparso.

Dopo la disattivazione:

  • Google Ads smette di leggere le impostazioni lato Analytics e si affida esclusivamente ai segnali Consent Mode inviati dalla tua CMP.
  • Google Signals viene ristretto al solo uso in Analytics — associare le sessioni agli utenti loggati all'interno di GA4.
  • Gli indirizzi IP continuano a essere raccolti e vengono cifrati prima di essere inoltrati agli account Ads collegati, dove subentrano le impostazioni dell'account di destinazione.

L'effetto pratico: una singola chiamata gtag('consent', 'update', ...) che fallisce — una race condition, una CMP che si carica dopo il primo tag, un deploy che elimina lo stato di default — ora invia silenziosamente dati che intendevi bloccare. Sotto il GDPR è un trattamento privo di base giuridica, e la rimozione della rete di sicurezza lato server rende più difficile sostenere che l'esposizione fosse contenuta.

Questa è anche, secondo le linee guida recenti, una modifica sostanziale al modo in cui i dati pubblicitari vengono condivisi. Per i siti con visitatori UE, può attivare un obbligo di informazione verso gli utenti — una revisione da fare prima della scadenza, non dopo.

La complessità che non doveva mai esistere

Fai un passo indietro e guarda cosa richiede una configurazione conforme di Consent Mode v2: una CMP, quattro segnali di consenso, stati di default, chiamate di aggiornamento ordinate correttamente rispetto al caricamento dei tag, una decisione tra advanced e basic con conseguenze legali, conversioni modellate che funzionano solo sopra una soglia di traffico e, ora, un singolo punto di guasto senza backstop.

Tutto questo macchinario esiste per continuare a usare identificatori — il client ID, il cookie pubblicitario, l'email con hash — restando dal lato giusto della legge sul consenso. Rimuovi gli identificatori e l'intero apparato collassa nel nulla.

Un tracker senza cookie non ha alcun ad_storage da bloccare perché non imposta alcuno storage pubblicitario. Non ha alcun client ID da negare perché l'identità è un hash unidirezionale SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) calcolato in memoria sull'edge e mai invertito. L'IP grezzo e lo User-Agent vengono usati solo per calcolare quell'hash; D1 memorizza l'hash, non gli input. Non c'è alcun segnale di consenso che possa fallire perché non c'è nulla a cui acconsentire ai sensi dell'Articolo 5(3) — l'accesso al dispositivo del visitatore è strettamente necessario per consegnare la pagina, e lo script sotto i 2 KB che invia a /collect non legge alcuno storage.

La disattivazione del 15 giugno è un buon momento per porsi una domanda più affilata di "il mio Consent Mode è configurato correttamente". Chiediti perché stai facendo girare una macchina a stati di consenso per misurare le visualizzazioni di pagina in primo luogo. Le conversioni che Google modella dai cookieless pings sono una stima di dati che non hai mai avuto il permesso di raccogliere. Contare ciò che è effettivamente accaduto, senza un identificatore, è sempre stato il sistema più semplice.

Fonti

Related posts

4 min di letturaLaw & Regulation

Il Digital Omnibus vuole esentare dal consenso l'analytics first-party

Il Digital Omnibus dell'UE, di novembre 2025, propone un'esenzione dal consenso per la misurazione dell'audience first-party a uso interno. Descrive il modello che l'analytics senza cookie già esegue.

Leggi di più
5 min di letturaLaw & Regulation

La Cookie Law Non Riguarda Più Solo i Cookie: Cosa Copre Ora l'Articolo 5(3)

Le Linee Guida 2/2023 dell'EDPB hanno esteso le regole di consenso ePrivacy a pixel, tracking via URL e identificazione tramite solo IP. Le recenti decisioni di CNIL e Garante confermano la lettura tecnologicamente neutrale. Ecco cosa cambia per gli sviluppatori.

Leggi di più
5 min di letturaLaw & Regulation

Quando un Hash È un Dato Personale? La Sentenza SRB della CGUE e l'Identità in Analytics

La sentenza EDPS contro SRB della CGUE ha reso l'identificabilità un test relativo e contestuale. Ecco cosa significa per l'analytics basato su hash, e perché un hash con salt che ruota ogni giorno regge sia alla lettura della corte sia a quella più rigida dell'EDPB.

Leggi di più

Comments

Loading comments…