Dark pattern nei banner dei cookie: cosa è illegale, cosa è rischioso e come rimanere conformi
I regolatori europei non controllano più solo se avete un banner dei cookie — controllano come si comporta. I dark pattern — scelte di design ingannevoli che manipolano gli utenti inducendoli a dare un consenso che non intendevano fornire — sono diventati l'obiettivo numero uno di applicazione per le autorità di protezione dei dati nel 2025-2026. Le sanzioni sono reali, stanno crescendo e colpiscono aziende di ogni dimensione.
Cosa sono i dark pattern nel consenso ai cookie?
Un dark pattern è qualsiasi scelta di design che spinge gli utenti verso il consenso quando un design neutro li porterebbe a rifiutare o a fare una scelta genuinamente libera. Il Comitato europeo per la protezione dei dati (EDPB) ha emesso linee guida vincolanti nel 2023 definendo categorie specifiche di dark pattern. Non sono suggerimenti — hanno forza di legge in tutti gli Stati membri dell'UE.
I 7 dark pattern più comuni (e perché sono illegali)
1. Pulsante di rifiuto nascosto
"Accetta tutto" è un pulsante verde prominente mentre "Rifiuta" è un piccolo link di testo grigio sepolto in un secondo livello. Diverse autorità DPA hanno dichiarato questo non valido. CNIL ha multato una grande azienda tecnologica di €60 milioni in parte per questa pratica.
2. Caselle preselezionate
Il banner del consenso si carica con tutte le categorie di cookie già selezionate. La CGUE ha stabilito nel caso Planet49 (2019) che le caselle preselezionate non costituiscono un consenso valido. Questo è diritto consolidato.
3. Cookie wall
Bloccare completamente l'accesso al sito web finché l'utente non presta il consenso. Le linee guida dell'EDPB affermano che il consenso non è liberamente prestato se l'accesso al servizio è condizionato ad esso. La maggior parte delle DPA dell'UE ha confermato questa posizione.
4. Linguaggio confuso
Usare gergo legale, doppie negazioni o formulazioni intenzionalmente complesse per confondere gli utenti. "Non disattivando i cookie non essenziali, accetti..." è un dark pattern. È richiesto un linguaggio chiaro e semplice.
5. Manipolazione emotiva
Far sentire gli utenti in colpa con frasi come "Non mi importa della mia esperienza" per l'opzione di rifiuto, o usare icone tristi e colori di avvertimento sul pulsante di rifiuto. I regolatori lo hanno esplicitamente segnalato.
6. Sforzo asimmetrico
Un clic per accettare, cinque clic per rifiutare. Se rifiutare il consenso richiede di navigare attraverso più schermate, interruttori e finestre di dialogo di conferma mentre accettare è un singolo pulsante, questo è un dark pattern.
7. Sollecitazioni ripetute
Mostrare nuovamente il banner del consenso agli utenti che hanno già rifiutato, sperando che alla fine clicchino su accetta per stanchezza. Una volta che un utente ha fatto una scelta, questa scelta deve essere rispettata finché non la cambia attivamente.
Sanzioni reali per i dark pattern
- CNIL (Francia): sanzioni di €60M e €40M contro grandi aziende tecnologiche per banner di consenso in cui rifiutare era più difficile che accettare
- Garante italiano: sanzione di €20M per caselle di consenso preselezionate e cookie wall
- AEPD spagnola: sanzione di €2,5M per design manipolativo del banner dei cookie
- DPA belga: ha stabilito che l'implementazione originale del TCF di IAB Europe comportava dark pattern
- DSB austriaca: molteplici decisioni contro design di consenso asimmetrici
Come verificare il tuo banner per i dark pattern
Applica questa checklist al tuo banner di consenso attuale:
- I pulsanti Accetta e Rifiuta hanno le stesse dimensioni, la stessa prominenza cromatica e lo stesso numero di clic
- Nessuna casella è preselezionata — tutte le categorie di consenso iniziano come disattivate
- Il sito web è accessibile senza prestare il consenso (nessun cookie wall)
- Il linguaggio è semplice, chiaro e nella lingua del visitatore
- Nessun testo che induce sensi di colpa né manipolazione emotiva sull'opzione di rifiuto
- Le scelte precedenti vengono ricordate — il banner non riappare per gli utenti che hanno rifiutato
- Esiste un'opzione "Gestisci preferenze" accanto ad Accetta e Rifiuta
- Revocare il consenso è facile quanto concederlo
FlexyConsent: senza dark pattern per design
FlexyConsent è costruito con la conformità normativa come impostazione predefinita. Pulsanti uguali, nessuna casella preselezionata, nessun cookie wall, linguaggio semplice in oltre 43 lingue e rispetto automatico delle scelte precedenti. Come Google Certified CMP registrato presso IAB Europe, FlexyConsent segue l'interpretazione più rigorosa delle linee guida dell'EDPB — così non dovrete mai preoccuparvi dell'applicazione dei dark pattern.