Perché Google ora richiede un CMP certificato

Da gennaio 2024, Google applica una politica rigorosa: qualsiasi sito web che eroga annunci agli utenti nello Spazio Economico Europeo (SEE) o nel Regno Unito deve raccogliere il consenso tramite una Piattaforma di Gestione del Consenso (CMP) certificata da Google. Non si tratta di una semplice linea guida facoltativa. Senza certificazione, gli editori affrontano conseguenze concrete che incidono direttamente su ricavi e qualità dei dati.

Il requisito nasce dall’evoluzione del quadro normativo dell’UE. Il Digital Markets Act ha designato Google come gatekeeper, il che ha reso necessario per Google dimostrare che i segnali di consenso che attraversano il suo stack pubblicitario siano legittimi, verificabili e conformi al Transparency and Consent Framework (TCF). La soluzione di Google è stata creare un programma di certificazione che valuta i CMP in base a un insieme definito di criteri tecnici e operativi.

Per gli editori, questo significa che il CMP scelto non è più solo una preferenza o una decisione di comodità. È un fattore di sbarramento che determina se l’inventory pubblicitaria nel SEE genera ricavi pieni o viene limitata a una frazione del suo potenziale.

Cosa significa realmente la certificazione CMP di Google

La certificazione non è un timbro formale. Google valuta i CMP su diverse dimensioni prima di concedere e mantenere lo status di certificato:

• Integrazione con TCF 2.2+: Il CMP deve essere un membro registrato dello IAB Europe Transparency and Consent Framework, attualmente alla versione 2.2 con la transizione verso TCF 2.3 in corso. Ciò significa che il CMP genera TC String che i vendor a valle possono analizzare per determinare lo stato del consenso per specifiche finalità di trattamento.
• Supporto per Consent Mode V2: Il CMP deve inviare i corretti segnali di consenso a Google — ad_storage, analytics_storage, ad_user_data e ad_personalization — utilizzando le API di Google Consent Mode. L’aggiornamento alla V2 ha aggiunto gli ultimi due parametri, che ora sono obbligatori per tutta l’erogazione pubblicitaria nel SEE.
• Comportamento predefinito corretto: Prima che l’utente interagisca con il banner, il CMP deve impostare stati di consenso predefiniti (tipicamente negati per gli utenti SEE). Google verifica che nessun tag venga attivato con consenso concesso prima che l’utente abbia effettuato una scelta.
• Standard dell’interfaccia utente: Il banner di consenso deve presentare una scelta reale. Google verifica che il CMP consenta agli utenti di accettare, rifiutare o personalizzare il proprio consenso senza pattern di design ingannevoli che li spingano verso l’accettazione.
• Audit di conformità continui: La certificazione non è permanente. Google rivaluta periodicamente i CMP e può revocare la certificazione se gli standard si abbassano o se il CMP non riesce a tenere il passo con gli aggiornamenti del framework.

L’attuale elenco dei CMP certificati

Google mantiene un elenco pubblico dei CMP certificati sulle sue pagine di supporto. All’inizio del 2026, circa 30–40 piattaforme risultano certificate. L’elenco include grandi piattaforme enterprise, strumenti per il mid-market e soluzioni specializzate. Tra i nomi più noti figurano Cookiebot, OneTrust, Usercentrics, Didomi e FlexyConsent.

L’elenco non è statico. I CMP possono essere aggiunti quando completano il processo di certificazione e possono essere rimossi se non sono più conformi. Gli editori dovrebbero verificare il proprio CMP rispetto all’elenco ufficiale sulla pagina del Programma Partner CMP di Google almeno ogni trimestre. Se il tuo CMP non è presente, l’erogazione degli annunci nel SEE è a rischio, indipendentemente da ciò che il fornitore del CMP dichiara sul proprio stato di conformità.

Vale anche la pena sottolineare che essere in elenco non significa che tutti i CMP certificati siano uguali in termini di qualità. La certificazione stabilisce una soglia minima di conformità, ma la qualità dell’implementazione, le opzioni di personalizzazione, l’impatto sulle prestazioni e il supporto variano in modo significativo tra i provider. Gli editori dovrebbero valutare i CMP certificati in base ai loro meriti, oltre la sola certificazione.

Cosa succede senza un CMP certificato

Le conseguenze di operare senza un CMP certificato nel SEE sono significative e immediate:

• Erogazione pubblicitaria limitata: Google Ad Manager, AdSense e AdMob limiteranno gli annunci mostrati agli utenti SEE. In molti casi ciò significa solo annunci non personalizzati o nessun annuncio, a seconda della configurazione. Gli annunci non personalizzati generano in genere dal 50 al 70 percento di ricavi in meno rispetto a quelli personalizzati.
• Nessun conversion modeling: I modelli avanzati di conversione di Google si basano sui segnali di consenso. Senza i corretti segnali di Consent Mode V2, perdi l’accesso alle conversioni modellate in Google Ads e GA4, creando lacune nei dati di attribuzione che rendono inaffidabile l’ottimizzazione delle campagne.
• Minore domanda programmatica: Molti SSP e DSP nell’ecosistema Google verificano la presenza di TC String valide. In loro assenza, le bid request vengono filtrate o ricevono CPM più bassi perché i buyer non possono verificare lo stato del consenso.
• Esposizione sul fronte della conformità: Oltre all’applicazione da parte di Google, operare senza un consenso adeguato nel SEE ti espone a sanzioni GDPR da parte delle autorità nazionali per la protezione dei dati. Queste multe possono arrivare fino al 4% del fatturato globale annuo o a 20 milioni di euro, a seconda di quale importo sia superiore.
• Erosione della fiducia degli inserzionisti: Inserzionisti diretti e agenzie verificano sempre più spesso la conformità degli editori. Operare senza un CMP certificato segnala agli inserzionisti premium che il tuo inventory potrebbe comportare rischi legali, con la possibile perdita di accordi diretti.

TCF 2.3 e Consent Mode V2: il doppio requisito

Un equivoco comune è che la sola conformità al TCF sia sufficiente. Non è così. Google richiede sia una TC String valida da un CMP registrato TCF sia i segnali di Consent Mode V2. Questi elementi svolgono funzioni diverse nell’ecosistema ad tech:

La TC String comunica il consenso granulare a livello di vendor all’ecosistema della pubblicità programmatica. Indica a ogni vendor nella supply chain esattamente per quali finalità di trattamento l’utente ha prestato il consenso. Consent Mode V2, invece, comunica lo stato del consenso specificamente ai tag di Google (Analytics, Ads, Floodlight). Un CMP certificato deve gestire entrambi in parallelo e garantire che rimangano sincronizzati.

TCF 2.3, l’ultima versione del framework, introduce perfezionamenti nella gestione del legittimo interesse e nei requisiti di informativa sui vendor. Restringe le regole su come i vendor possono invocare il legittimo interesse come base giuridica e richiede una comunicazione più chiara agli utenti su quali vendor tratteranno i loro dati. I CMP che mirano a ottenere o mantenere la certificazione Google sono tenuti a supportare TCF 2.3 man mano che diventa lo standard nel corso del 2026.

Come FlexyConsent ha ottenuto la certificazione Google

FlexyConsent è stato progettato fin dall’inizio con la certificazione Google come obiettivo centrale, non come ripensamento. La piattaforma implementa tutti e quattro i parametri di Consent Mode V2 con stati predefiniti di diniego per il traffico SEE. Genera TC String conformi agli standard come CMP registrato presso IAB Europe.

Le principali decisioni tecniche che hanno supportato la certificazione includono:

• Caricamento dello script prima di qualsiasi altro tag: Lo script asincrono e leggero di FlexyConsent si carica e imposta gli stati di consenso predefiniti prima che Google Tag Manager o gtag.js possano attivarsi, evitando qualsiasi fuga di consenso nei millisecondi critici successivi al caricamento della pagina.
• Impostazioni predefinite geo-aware: La piattaforma rileva la posizione dell’utente e applica impostazioni di consenso predefinite appropriate per la regione — negate per SEE e Regno Unito, concesse per le regioni senza requisiti espliciti di consenso, a meno che l’editore non configuri diversamente.
• Archiviazione trasparente del consenso: Le scelte di consenso sono memorizzate in cookie di prima parte con convenzioni di denominazione chiare, rendendole verificabili da Google durante le revisioni di certificazione e dagli editori durante i propri controlli di conformità.
• Supporto continuo delle versioni TCF: Man mano che il framework evolve dalla 2.2 alla 2.3, FlexyConsent aggiorna automaticamente la generazione delle TC String senza richiedere modifiche lato editore o aggiornamenti degli script.
• Impatto minimo sulle prestazioni: Lo script è ottimizzato per caricarsi in meno di 50 millisecondi su connessioni tipiche, garantendo che non contribuisca a degradare la velocità della pagina in modo tale da influire sui punteggi Core Web Vitals.

Cosa dovrebbero verificare subito gli editori

Se stai erogando annunci nel SEE, ecco una checklist concreta per assicurarti di essere conforme:

• Controlla l’elenco dei certificati: Conferma che il tuo CMP compaia nell’elenco ufficiale dei partner CMP certificati di Google. Fallo ogni trimestre, poiché l’elenco cambia.
• Verifica i segnali di Consent Mode V2: Usa Google Tag Assistant o la console del browser per confermare che i comandi consent default e consent update vengano inviati con tutti e quattro i parametri (ad_storage, analytics_storage, ad_user_data, ad_personalization).
• Testa la TC String: Usa il decoder di TC String dello IAB per verificare che il tuo CMP generi TC String valide e analizzabili, con consensi vendor e dichiarazioni di finalità corretti.
• Verifica l’ordine di attivazione dei tag: Assicurati che lo script del CMP si carichi prima dei tag di Google. Se i tag si attivano prima che il consenso sia impostato, hai una lacuna di conformità che i sistemi di Google rileveranno.
• Analizza i tassi di consenso: Se il tuo tasso di consenso nel SEE è sospettosamente alto (oltre il 90%), verifica se il design del banner offre davvero una scelta libera o se spinge gli utenti in un modo che i regolatori potrebbero contestare.
• Testa su tutti i dispositivi: Verifica che il flusso di consenso funzioni correttamente su mobile, tablet e desktop. I problemi di consenso su mobile sono comuni e spesso non vengono rilevati se si testa solo da desktop.

Messaggio chiave: La certificazione CMP di Google non è un badge di marketing — è un gate tecnico che determina se i tuoi ricavi pubblicitari nel SEE fluiscono normalmente o vengono limitati. Verifica lo stato del tuo CMP, testa la tua implementazione e assicurati che i segnali TCF e Consent Mode V2 vengano inviati correttamente.

FlexyConsent offre un piano gratuito che include tutte le funzionalità di CMP certificato da Google, Consent Mode V2 e supporto TCF 2.3. Per gli editori che devono diventare conformi rapidamente, è uno dei percorsi più rapidi dall’installazione alla raccolta del consenso a livello di certificazione.