YouTube & il Potere Invisibile
youtube-nocookie.com promette privacy nel suo stesso nome. Ma fa quello che promette? La risposta documentata vi sorprenderà.
La menzogna del NoCookie: perché youtube-nocookie.com è un’illusione di privacy
Un dominio che promette privacy nel suo stesso nome. Ma fa quello che promette? La risposta documentata vi sorprenderà — e forse arrabbierà.
🍪 Cos’è youtube-nocookie.com
Quando un sito web vuole incorporare un video YouTube, può usare due URL: il classico youtube.com oppure youtube-nocookie.com, associato alla “Modalità privacy avanzata” di YouTube. Il nome e la dicitura ufficiale suggeriscono che questa modalità riduca il tracciamento. E in parte è vero. Ma la parola “nocookie” è profondamente fuorviante, e diversi esperti di privacy lo hanno documentato pubblicamente.
- youtube.com (embed standard): I cookie vengono impostati immediatamente al caricamento della pagina, prima che l’utente faccia qualsiasi cosa, senza consenso. Avvia il tracciamento completo della sessione.
- youtube-nocookie.com (privacy avanzata): I cookie vengono ritardati fino all’interazione dell’utente (click su Play). Ma in compenso, al caricamento della pagina, YouTube scrive immediatamente nel localStorage del browser un identificatore univoco del dispositivo — senza consenso. Questo viola il GDPR esattamente come farebbe un cookie.
- Cosa viene scritto nel localStorage:
yt-remote-device-id(identificatore dispositivo),ytidb::LAST_RESULT_ENTRY_KEY, database IndexedDBYtIdbMeta. Tutti persistenti, tutti senza consenso.
Come ha scritto il ricercatore svedese Per Axbom: «If you use the youtube-nocookie.com domain, there is no cookie set when the page with the YouTube embed loads. Instead, YouTube utilizes something called Local Storage in your browser to store a unique device identifier. Note that this is done without anyone’s consent and GDPR is violated already in this step.» (axbom.com, 2023, verificato aggiornato)
Il GDPR non regola solo i cookie: regola qualsiasi tecnica di tracciamento capace di identificare un individuo. Il localStorage rientra in questa categoria.
🔬 Cosa succede passo per passo
yt-remote-device-id nel localStorage. GDPR violato — nessun consenso richiesto.📋 La conclusione dei tecnici
Nella sintesi più diretta disponibile online, il developer Jason Grigsby di Cloud Four ha scritto: «YouTube no cookies isn’t a real feature. The reason many people call it YouTube no cookies is because the way to turn on YouTube Enhanced Privacy mode is by switching the domain. You would be forgiven for thinking that a domain that says nocookie wouldn’t set a cookie, but that’s not what happens.» (cloudfour.com, verificato 2023).
| Comportamento | youtube.com | youtube-nocookie.com |
|---|---|---|
| Cookie al caricamento pagina | SÌ — immediati | NO — ritardati |
| localStorage al caricamento | SÌ | SÌ (yt-remote-device-id) |
| Cookie dopo click Play | SÌ | SÌ |
| Trasmissione IP a Google | SÌ | SÌ (dopo Play) |
| Conforme GDPR da solo | NO | NO |
| Riduce tracciamento iniziale | NO | PARZIALMENTE |
⚖️ Cosa serve realmente per essere GDPR-compliant
I professionisti legali della privacy convergono su una soluzione: anche con youtube-nocookie.com, un sito web deve implementare una soluzione a due click (two-click solution). Il video viene mostrato come anteprima statica con una immagine placeholder; solo dopo che l’utente ha cliccato esplicitamente su “Accetta” in un banner di consenso e poi su Play, il video viene caricato. Un click su Play da solo non costituisce consenso ai sensi del GDPR.
Nel panorama europeo, diverse autorità garanti nazionali hanno aperto procedimenti contro siti web che utilizzavano embed YouTube — inclusi youtube-nocookie — senza banner di consenso adeguati. La posizione prevalente dei DPA europei è che l’embed YouTube, in qualsiasi forma, richiede consenso esplicito preventivo. Fonte: ignite.video (guida GDPR, aggiornata 2025), captaincompliance.com (gennaio 2025).