Cosa fa Concretamente l'Identity Resolution

L'identity resolution è il livello tra le fonti dati dell'editore e gli strumenti di misurazione e personalizzazione dell'editore. Prende in input — cookie di prima parte, ID di sessione lato server, indirizzi email con hash da sessioni autenticate, ID pubblicitari mobili dall'app dell'editore, identificatori di dispositivi smart TV e una costellazione di segnali probabilistici come indirizzo IP, user agent e fingerprint comportamentale — e produce un output: un identificatore interno stabile che rappresenta un singolo consumatore su tutte le superfici gestite dall'editore.

Stitching Deterministico

Il percorso più pulito è lo stitching deterministico: quando il consumatore effettua il login su due superfici, l'editore sa che i due dispositivi appartengono alla stessa persona e unisce il grafo degli identificatori di conseguenza. Gli iscritti alla newsletter, i lettori registrati e gli abbonati paganti producono naturalmente stitching deterministico. I dati sono ad alta affidabilità, la base giuridica è chiara (l'editore ha un rapporto diretto) e le decisioni di consenso prese su una superficie possono propagarsi all'altra senza supposizioni probabilistiche.

Stitching Probabilistico

Il percorso più difficile è lo stitching probabilistico: inferire che due dispositivi appartengono alla stessa persona senza un collegamento autenticato. I segnali sono la co-occorrenza di indirizzi IP, la somiglianza comportamentale, i pattern temporali, il clustering geografico e modelli proprietari che combinano tutto quanto sopra. Lo stitching probabilistico offre agli editori una portata molto maggiore — la maggior parte dei lettori è scollegata per la maggior parte delle visite — ma la base giuridica è molto più debole e i regolatori europei si sono mostrati sempre più attivi nel contrastare i livelli di identità probabilistici che operano senza consenso esplicito.

Grafi di Identità Forniti da Vendor

Il terzo percorso consiste nell'acquistare o licenziare un grafo di identità da un vendor — LiveRamp, ID5, Unified ID 2.0 di The Trade Desk o uno dei tanti provider più piccoli. Il vendor mantiene il grafo, l'editore fornisce identificatori con hash e il vendor restituisce un identificatore unito che l'editore può utilizzare a valle. La posizione giuridica qui è mista: dipende interamente dalle origini dei dati del vendor e dai termini contrattuali, e le azioni di applicazione dell'UE nel 2025 contro diversi grandi vendor di identità hanno reso gli editori più cauti riguardo ai grafi da integrare.

La Questione di Consenso che l'Identity Resolution Cross-Device Solleva

La questione difficile che l'identity resolution solleva è se l'atto dello stitching in sé richieda il consenso, separatamente dalla pubblicità o dalla personalizzazione a valle alimentata dall'identificatore unito.

Lo Stitching in Sé

Ai sensi del GDPR, l'identity resolution è trattamento di dati personali. La base giuridica richiesta dipende dalla finalità: per la prevenzione delle frodi o il funzionamento del servizio di base, il legittimo interesse può talvolta applicarsi; per la pubblicità, la personalizzazione o l'estensione del pubblico, è necessario il consenso. L'ePrivacy aggiunge un livello separato per qualsiasi cookie o identificatore di dispositivo letto sul dispositivo dell'utente, e il cookie o l'identificatore letto richiede il consenso indipendentemente da ciò che l'editore fa poi con il risultato.

La Propagazione del Consenso

La questione più interessante è come la decisione di consenso presa su un dispositivo si propaghi all'altro. Se un lettore rifiuta i cookie pubblicitari sul laptop e l'identificatore del laptop è collegato all'identificatore del telefono tramite corrispondenza deterministico dell'email, il telefono deve rispettare il rifiuto del laptop alla visita successiva? Le linee guida pubblicate dall'European Data Protection Board sono chiare: la risposta è sì — le decisioni di consenso si attaccano all'interessato, non al dispositivo, e un grafo di identità unito che permette all'editore di riconoscere l'interessato è anche un grafo che richiede all'editore di rispettare le sue decisioni.

Il Percorso di Revoca

Anche la revoca deve propagarsi. Un lettore che accede alle impostazioni dell'account dell'editore sul laptop e clicca su 'rifiuta tutta la pubblicità' deve vedere lo stesso stato riflesso quando apre l'app telefonica, anche se la sessione dell'app telefonica è anonima e utilizza un cookie diverso. Il CMP e il livello di identità devono condividere lo stato e la propagazione deve essere quasi in tempo reale — una revoca rispettata una settimana dopo non è stata rispettata.

Il Pattern Architetturale

Il CMP cross-device e lo stack di identità hanno un piccolo numero di elementi ripetibili che si sono stabilizzati tra gli editori maturi entro il 2026.

La Singola Fonte di Verità

Lo stato di consenso vive in un servizio di consenso di proprietà dell'editore, non nel database del vendor CMP. Il servizio è indicizzato sull'identificatore risolto, non sul cookie che ha attivato la decisione di consenso più recente, e ogni servizio a valle consapevole del consenso legge da questa unica fonte. Il CMP alimenta il servizio ad ogni cambiamento di consenso e il servizio fornisce un'API in tempo reale che lo stack pubblicitario e il livello di personalizzazione possono chiamare ad ogni caricamento di pagina e ad ogni evento.

L'Indice di Consenso del Livello di Identità

Il livello di identity resolution mantiene un indice bidirezionale: ogni identificatore di dispositivo si mappa a un'identità risolta e ogni identità risolta si mappa al set di identificatori di dispositivo che ha toccato. Quando si verifica un cambiamento di consenso su un qualsiasi dispositivo, l'indice consente all'editore di diffondere il cambiamento a ogni altro dispositivo utilizzato dalla stessa identità, con il cooldown appropriato e la registrazione della propagazione.

UI del Consenso per Superficie

Le UI del consenso su ciascun dispositivo dovrebbero riflettere lo stato cross-device. Un lettore che ha acconsentito sul laptop non dovrebbe vedere un nuovo banner sul telefono se lo stitching dell'identità ha avuto successo. Un lettore che non è mai stato visto prima dovrebbe vedere il banner con impostazioni predefinite di rifiuto. Il CMP deve essere in grado di leggere lo stato del livello di identità e renderizzare l'UI di conseguenza, che è una vera integrazione ingegneristica ma un investimento una tantum.

I Casi Speciali

Diverse superfici e contesti producono casi limite che l'architettura deve gestire esplicitamente.

TV Connessa e App Over-the-Top

Il contesto delle smart TV e delle app OTT è insolito perché il dispositivo è spesso condiviso in un nucleo familiare — più persone usano la stessa TV, ma solo una di esse ha l'account dell'app dell'editore sul proprio telefono. Lo stitching deterministico dal telefono alla TV è inaffidabile, e lo stitching probabilistico su un dispositivo condiviso dal nucleo familiare produce confusione sul consenso. Il pattern conforme consiste nel trattare l'app TV come una superficie non autenticata per impostazione predefinita, mostrare il proprio banner di consenso al primo avvio e unire a un account noto solo quando l'utente compie un'azione di collegamento esplicita.

Incognito e Navigazione Privata

Una sessione in incognito per definizione rifiuta l'identity resolution. Il CMP dovrebbe trattare la sessione come un visitatore completamente nuovo ogni volta, rendere il banner con rifiuto predefinito e non tentare di collegare la sessione a qualsiasi identificatore noto anche se l'indirizzo IP e il pattern comportamentale produrrebbero altrimenti una corrispondenza probabilistica. L'utente ha segnalato di volere l'isolamento e l'editore rispetta quel segnale.

Superfici per Minori

Qualsiasi superficie in cui il pubblico potrebbe includere minori — sezioni di contenuti per bambini, app orientate alla famiglia, account con età autodichiarata inferiore ai diciotto anni — dovrebbe per impostazione predefinita non applicare nessuna identity resolution e avere i default di consenso impostati su rifiuto per pubblicità e personalizzazione. Il divieto di targeting dei minori del DSA e le restrizioni COPPA negli Stati Uniti sono assolute e prevalgono su qualsiasi propagazione cross-device dall'account adulto di un membro del nucleo familiare.

Errori Cross-Device Comuni che Generano Rilievi

I deployment cross-device che generano rilievi del regolatore tendono a fallire secondo schemi che le decisioni di applicazione dell'UE hanno reso specifici. Il grafo di identità probabilistico opera senza una porta esplicita di consenso, con la teoria che la corrispondenza probabilistica sia al di sotto della soglia GDPR — una posizione che non è sopravvissuta alle sentenze recenti. Il percorso di revoca su un dispositivo impiega una settimana per propagarsi all'altro attraverso un processo batch, lasciando una finestra in cui i desideri dell'utente non sono rispettati. L'integrazione del grafo di identità del vendor va in produzione senza un Data Protection Impact Assessment e senza clausole contrattuali che estendano la base giuridica legittima dell'editore al trattamento del vendor. L'app della TV connessa si collega deterministicamente all'account del telefono principale del nucleo familiare senza alcuna azione esplicita dell'utente, importando la decisione di consenso di un utente su un utente diverso. Il CMP rende un banner che non riflette lo stato cross-device, frustrando i lettori di ritorno che hanno già acconsentito su una superficie diversa e producendo i rilievi di consent fatigue che l'EDPB ha perseguito nel corso del 2025.

La Conclusione

Il consenso cross-device non è un problema tecnologico e non è un problema legale — è il punto in cui i due convergono. Il livello di identity resolution che gli editori hanno costruito per far funzionare l'estensione del pubblico e il frequency capping crea anche l'obbligo di rendere il consenso e la revoca coerenti tra le superfici. L'architettura è definita nel 2026: un servizio di consenso di proprietà dell'editore indicizzato sull'identità risolta, un indice bidirezionale nel livello di identità, propagazione quasi in tempo reale, UI del consenso per superficie che riflette lo stato cross-device e gestione esplicita dei casi limite di dispositivo condiviso dal nucleo familiare, incognito e minori. Nulla di questo è ingegneria drammatica. Tutto è operativamente specifico. Gli editori che lo hanno costruito durante il ciclo di deprecazione dei cookie di terze parti stanno ora operando in modo pulito su telefoni, laptop e TV; gli editori che hanno trattato il cross-device come un aggiornamento della misurazione senza il livello di consenso stanno trascorrendo il 2026 a spiegare all'EDPB perché la revoca di un lettore sul laptop non ha raggiunto la smart TV fino al martedì successivo.