Cosa Significa Paga-o-Consenso nella Pratica

Un banner paga-o-consenso presenta all'utente due scelte alla prima visita. La prima è accettare il tracciamento e il trattamento per la pubblicità comportamentale in cambio dell'accesso gratuito al contenuto. La seconda è pagare una tariffa ricorrente — di solito mensile — in cambio di una versione del medesimo contenuto priva di pubblicità o di tracciamento. Rifiutare entrambe le opzioni blocca completamente l'accesso. Meta, Le Monde, Der Spiegel, Bild e decine di editori europei di medio livello hanno distribuito varianti di questo design dal 2023.

La teoria giuridica è che il consenso rimane liberamente dato perché l'utente ha un'alternativa genuina: può pagare anziché acconsentire. La teoria contraria, che i regolatori hanno sempre più avallato, è che questo funziona solo se l'alternativa a pagamento è un equivalente reale e proporzionato — e molte implementazioni non superano questo test.

Il Parere EDPB dell'Aprile 2024 e Quanto Seguì

Il punto di partenza per qualsiasi analisi del 2026 è il Opinion 08/2024 dell'EDPB, adottato nell'aprile 2024 in risposta a una richiesta delle autorità di vigilanza olandese, norvegese e di Amburgo. Il Parere riguarda specificamente le piattaforme online di grandissime dimensioni, ma il suo ragionamento è ora applicato ampiamente agli editori.

L'EDPB ha statuito che, nella maggior parte dei casi, le grandi piattaforme non possono fare affidamento su un design binario paga-o-consenso per ottenere un consenso valido ai sensi del GDPR. Tre conclusioni dell'EDPB rilevano maggiormente per gli editori:

• Una scelta binaria è raramente sufficiente. Quando l'alternativa al consenso è un abbonamento a pagamento che è l'unica altra opzione, il consenso di solito non sarà liberamente dato. I titolari del trattamento dovrebbero considerare l'offerta di una terza opzione che non comporti alcun pagamento e nessun tracciamento comportamentale — come un livello di pubblicità contestuale.
• La tariffa non deve essere un deterrente. Se il prezzo è fissato così in alto che gli utenti si sentono funzionalmente costretti a consentire, la scelta è illusoria. I regolatori possono comparare la tariffa con il proprio ARPU dell'editore sugli utenti che acconsentono.
• L'ambito del trattamento deve essere limitato. Anche quando il consenso viene dato, non può coprire lecitamente trattamenti non correlati come la condivisione di dati con centinaia di fornitori terzi. Ogni finalità di trattamento richiede ancora la propria base giuridica valida.

Posizione delle DPA Nazionali nel 2026

Italia — Garante

Il Garante è stato l'autorità più attiva nell'esecuzione. Nelle sue linee guida del 2024 e in una serie di decisioni del 2025, il Garante ha richiesto che gli editori offrano una terza opzione senza tracciamento e senza pagamento, con le regole precise che dipendono dalle dimensioni e dalla posizione di mercato dell'editore. I banner puramente binari sui siti in lingua italiana sono ora trattati come presumibilmente non conformi.

Germania — DSK

La conferenza tedesca delle autorità di protezione dei dati ha emesso un documento di posizione alla fine del 2024 allineato con l'EDPB ma senza arrivare a un divieto totale. Il DSK richiede che l'alternativa sia "appropriata" — il che significa che il livello a pagamento deve offrire un accesso ai contenuti comparabile, il prezzo deve essere oggettivamente giustificabile e qualsiasi alternativa gratuita offerta deve essere genuinamente utilizzabile. Diversi Landesdatenschutzbeauftragte hanno da allora aperto indagini su specifici editori.

Norvegia — Datatilsynet

La Norvegia ha assunto la linea più severa. In una dichiarazione del 2025 il Datatilsynet ha affermato che per la maggior parte degli editori di interesse generale nessun design paga-o-consenso produrrà un consenso valido ai sensi del GDPR. Gli editori norvegesi stanno sempre più ricorrendo alla pubblicità contestuale o a flussi ibridi contestuali-più-consenso.

Francia — CNIL

La posizione della CNIL è più pragmatica ma in evoluzione. La Francia consente il paga-o-consenso in linea di principio ma ha pubblicato criteri nel 2025 che riguardano la ragionevolezza del prezzo, l'ambito del tracciamento nell'ambito dell'opzione di consenso e se il rifiuto risulti genuinamente in un accesso continuato attraverso canali alternativi.

Come Appare un'Implementazione Conforme nel 2026

Il paga-o-consenso non è morto, ma sopravvive solo se progettato con cura. Gli editori che vogliono mantenere attivo questo flusso dovrebbero valutare quattro dimensioni progettuali.

Aggiungere una terza opzione

Il cambiamento più importante dal Parere EDPB è l'aggiunta di una terza scelta: accesso gratuito con pubblicità contestuale e nessun tracciamento comportamentale. Questa terza opzione non deve essere quella predefinita — può essere un clic più in profondità rispetto ad "Accetta" e "Abbonati" — ma la sua esistenza trasforma la posizione giuridica del banner. Diversi grandi editori tedeschi e italiani hanno implementato questo schema nel corso del 2025.

Giustificare il prezzo

Documentare come è stato fissato il prezzo dell'abbonamento. Confrontarlo con il proprio ARPU dell'editore sugli utenti che acconsentono, con prodotti in abbonamento comparabili sul mercato e con il costo marginale di servire traffico non tracciato. Un prezzo che è diversi multipli superiore all'ARPU degli utenti che acconsentono è il percorso più rapido verso una decisione del regolatore contro di sé.

Ridurre l'ambito del consenso

Verificare a cosa acconsentono effettivamente gli utenti nel percorso "Accetta". Il Parere EDPB è esplicito nel dire che il consenso non può raggruppare finalità non correlate. Se la propria stringa TCF elenca 300 fornitori e una dozzina di finalità non correlate, il consenso è vulnerabile anche prima che si giunga alla questione paga-o-consenso. Ridurre l'elenco dei fornitori, separare le finalità dove possibile e presentare controlli granulari piuttosto che un singolo pulsante Accetta-Tutto.

Garantire una revoca facile

Rendere la revoca del consenso facile quanto la concessione originale. Sia la CNIL sia il Garante hanno sanzionato editori i cui flussi di cancellazione dell'abbonamento erano materialmente più difficili dell'iscrizione originale. La stessa logica si applica ora al consenso: il percorso di revoca deve essere individuabile, privo di attrito e completo.

Cosa Osservare nel Corso del 2026

Due sviluppi pendenti ridisegneranno quest'area prima della fine dell'anno. Il primo è la decisione pendente della Corte di Giustizia Europea sul caso paga-o-consenso di Meta (deferito dall'austriaco DSB), che fornirà il primo pronunciamento vincolante a livello UE sulla liceità del modello. Il secondo è la revisione della Commissione europea dell'interazione del GDPR con il Digital Markets Act e il Digital Services Act, che sta esaminando se le piattaforme online di grandissime dimensioni debbano affrontare regole più severe rispetto agli editori più piccoli — una posizione che l'EDPB ha lasciato intendere ma non ha formalmente stabilito.

Fino all'arrivo di tali decisioni, la postura più sicura per l'editore è quella già segnalata dai regolatori: offrire una terza opzione senza tracciamento, mantenere i prezzi oggettivamente giustificabili, restringere l'ambito del consenso a finalità genuinamente correlate e rendere la revoca facile quanto la concessione originale. Gli editori che centrano tutti e quattro i punti manterranno i propri flussi paga-o-consenso attivi; gli altri saranno sempre più esposti all'applicazione della normativa.