Privacy Sandbox È Morto: Cosa Significa per il Tuo Stack di Analytics

Il 17 ottobre 2025, Google ha ufficialmente dismesso il cuore della sua iniziativa Privacy Sandbox. Topics, Attribution Reporting, Protected Audience e altre sette API sono in fase di rimozione da Chrome e Android dopo sei anni di sviluppo, pressioni regolatorie e resistenza dell'industria. Il progetto che doveva sostituire i cookie di terze parti senza perdere capacità di misurazione si è concluso senza che nessuno dei due obiettivi sia stato raggiunto.

Per gli sviluppatori che avevano pianificato attorno a queste API, le conseguenze sono immediate. Per gli sviluppatori che avevano costruito su segnali di prima parte, conferma ciò che l'architettura già implicava.

Cosa è stato effettivamente chiuso

Le API dismesse coprono i due problemi principali che Privacy Sandbox cercava di risolvere: il targeting basato su interessi e l'attribuzione di conversione.

Topics API sostituiva la profilazione comportamentale assegnando gli utenti a categorie di interesse generali derivate dalla cronologia di navigazione — tutto on-device. Gli inserzionisti potevano richiedere queste categorie senza mai vedere i dati di navigazione grezzi. In pratica, l'adozione è stata così bassa che Google l'ha citata come motivo principale per la chiusura. Il Private Advertising Technology Working Group del W3C ha ereditato il problema e sta lavorando su standard successivi senza una tempistica definita.

Attribution Reporting API era la sostituzione dei pixel di conversione che si basavano sui cookie cross-site. Permetteva a un browser di abbinare privatamente un'impressione pubblicitaria a una conversione senza esporre l'identità dell'utente a nessuna delle parti. L'API era sofisticata — usava il rumore della differential privacy per impedire la ricostruzione a livello individuale — ma gli editori hanno trovato l'impatto sui ricavi inaccettabile. Il rapporto di giugno 2025 della UK Competition and Markets Authority ha rilevato che i ricavi degli editori erano circa il 30% inferiori quando ci si basava sugli strumenti Sandbox invece che sui cookie standard.

Protected Audience (precedentemente FLEDGE) abilitava aste di remarketing on-device. Private Aggregation e Shared Storage abilitavano il reporting aggregato tra i siti. Tutti stanno scomparendo.

Ciò che rimane è un elenco più breve di tecnologie mantenute: CHIPS (Cookies Having Independent Partitioned State), che partiziona i cookie per sito di primo livello; FedCM, che semplifica la federazione dell'identità senza tracking cross-site; e Private State Tokens, che aiutano a segnalare la frode senza esporre l'identità. Si tratta di funzionalità infrastrutturali, non di misurazione. Non risolvono il problema dell'analytics.

Perché la chiusura conta per l'analytics

Il fallimento di Sandbox lascia l'analytics senza una sostituzione browser-nativa per il tracking di terze parti. Gli sviluppatori che avevano costruito l'architettura di misurazione attorno ad Attribution Reporting ora devono ricostruirla. Ma la conseguenza più significativa è strutturale: il browser non sta più cercando di risolvere la misurazione cross-site per te.

Safari e Firefox non hanno mai partecipato all'approccio Sandbox. L'Intelligent Tracking Prevention di Apple blocca i cookie di terze parti per impostazione predefinita dal 2020. Firefox ha seguito. Chrome ha mantenuto in vita i cookie di terze parti nel 2024 proprio perché le alternative Sandbox non potevano eguagliare il loro valore di misurazione — e ora anche quelle alternative sono andate.

L'effetto netto è che il tracking degli utenti cross-site, con o senza cookie, non ha un futuro affidabile nel browser. Il percorso coercitivo che ha ucciso Sandbox (pressione regolatoria dalla CMA, dall'UE e dal caso antitrust del DOJ statunitense) non è scomparso. Qualsiasi nuovo schema di identificatori cross-site affronta lo stesso scrutinio normativo.

L'architettura dati di prima parte che rimane

Senza identificatori cross-site, la misurazione si divide nettamente in due categorie.

L'attribuzione cross-site — collegare un'impressione pubblicitaria su un dominio a un acquisto su un altro — non ha una soluzione browser che preservi la privacy. Il matching di eventi lato server, il media-mix modeling e i test di incrementalità sono gli strumenti rimanenti, e tutti richiedono infrastruttura e sofisticazione statistica oltre la portata della maggior parte dei prodotti costruiti dagli sviluppatori.

L'analytics di sito di prima parte — capire il traffico del tuo sito senza collegarlo a identificatori esterni — non è mai stato il problema che Privacy Sandbox stava risolvendo. Era già risolvibile senza cookie cross-site, e la chiusura di Sandbox non cambia nulla su come funziona.

Un'architettura minima di analytics di prima parte elabora una richiesta all'edge, deriva segnali aggregati dalla richiesta stessa e non memorizza nulla che richieda un identificatore persistente cross-device. Il paese viene da request.cf.country. Il tipo di dispositivo viene da un parsing approssimativo dello User-Agent. La famiglia di browser viene dallo stesso header di richiesta. Il dominio del referrer — non l'URL completo — viene dall'header Referer. La deduplica del visitatore entro un giorno usa un hash lato server:

visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)

L'IP e lo User-Agent non vengono mai memorizzati. L'hash si reimposta quotidianamente. Non c'è alcun identificatore cross-session, nessun identificatore cross-site, e nulla che le protezioni anti-tracking del browser possano bloccare. Questa architettura non è stata progettata come ripiego per il fallimento di Sandbox — precede Sandbox e sopravviverà a qualunque cosa verrà dopo.

Come si presenta la tempistica della rimozione

Chrome 144 deprecano Topics; Chrome 150 lo rimuove. Attribution Reporting e Protected Audience seguono tempistiche scaglionate simili. Se stai eseguendo chiamate alle API Sandbox in produzione, verificale ora — le API restituiranno errori o risposte vuote prima che la rimozione sia completa. Per i siti senza dipendenza da queste API, non c'è nulla da migrare. I cambiamenti di policy del browser non richiedono risposta quando il tuo modello dati non dipende da identificatori gestiti dal browser.

La lezione di sei anni di standardizzazione fallita

Il progetto Sandbox ha cercato di risolvere un problema tecnicamente reale — l'attribuzione cross-site che preserva la privacy — ed è fallito per una combinazione di ragioni: l'impatto sui ricavi era troppo grande, la complessità delle API era troppo alta per un'adozione ampia, e le autorità di regolamentazione nel Regno Unito e nell'UE hanno messo in dubbio che Google potesse progettare un sistema che migliorasse la privacy degli utenti senza rafforzare la propria posizione competitiva.

La lezione non è che la misurazione che preserva la privacy sia impossibile. È che la misurazione cross-site con forti garanzie di privacy richiede un livello di coordinamento dell'industria e di fiducia regolatoria che non si è materializzato nel contesto del browser. Gli sviluppatori che hanno bisogno di una comprensione a livello di sito del loro traffico non hanno bisogno di quel coordinamento. Hanno bisogno di un modello dati che sia preciso su ciò che raccoglie e onesto su ciò che non raccoglie.

Un analytics di prima parte, con ambito di sessione e non persistente non è un buco a forma di privacy sandbox che aspetta di essere riempito dalla prossima iniziativa del browser. È una risposta completa alla domanda che la maggior parte degli sviluppatori sta effettivamente ponendo.