Dettagli tecnici
- Severità
- medium
- Attack vector
- youtube-nocookie.com — localStorage senza consenso (confermato con test tecnico live, giu. 2026)
- Vendor
- Google / YouTube
Contesto e impatto
- Fonte primaria
- Per Axbom (2020) / Dustin Whisman (2023) / Swarmify — test tecnico dal vivo, giu. 2026
- Normativa / riferimento
- GDPR (consenso, art. 5-7) — ePrivacy Directive art. 5(3) — CGUE, causa Planet49 (C-673/17)
- Giurisdizione
- UE
- Dati aggiornati al
- 2026-07-03

YouTube & il Potere Invisibile
youtube-nocookie.com promette privacy nel suo stesso nome. Ma fa quello che promette? La risposta documentata vi sorprenderà.
La menzogna del NoCookie: perché youtube-nocookie.com è un’illusione di privacy
Un dominio che promette privacy nel suo stesso nome. Ma fa quello che promette? La risposta documentata vi sorprenderà — e forse arrabbierà.
Dark surrealist editorial: A cookie jar labeled “NO COOKIES” is sitting on a table, but its shadow on the wall behind it reveals the shape of a surveillance camera. The jar appears empty but glows faintly from inside. Noir lighting, black and teal palette. Photorealistic editorial style. No text. 16:9.
🍪 Cos’è youtube-nocookie.com
Quando un sito web vuole incorporare un video YouTube, può usare due URL: il classico youtube.com oppure youtube-nocookie.com, associato alla “Modalità privacy avanzata” di YouTube. Il nome e la dicitura ufficiale suggeriscono che questa modalità riduca il tracciamento. E in parte è vero. Ma la parola “nocookie” è profondamente fuorviante, e diversi esperti di privacy lo hanno documentato pubblicamente.
- youtube.com (embed standard): I cookie vengono impostati immediatamente al caricamento della pagina, prima che l’utente faccia qualsiasi cosa, senza consenso. Avvia il tracciamento completo della sessione.
- youtube-nocookie.com (privacy avanzata): I cookie vengono ritardati fino all’interazione dell’utente (click su Play). Ma in compenso, al caricamento della pagina, YouTube scrive immediatamente nel localStorage del browser un identificatore univoco del dispositivo — senza consenso. Questo viola il GDPR esattamente come farebbe un cookie.
- Cosa viene scritto nel localStorage:
yt-remote-device-id(identificatore dispositivo),ytidb::LAST_RESULT_ENTRY_KEY, database IndexedDBYtIdbMeta. Tutti persistenti, tutti senza consenso.
Come ha scritto il ricercatore svedese Per Axbom: «If you use the youtube-nocookie.com domain, there is no cookie set when the page with the YouTube embed loads. Instead, YouTube utilizes something called Local Storage in your browser to store a unique device identifier. Note that this is done without anyone’s consent and GDPR is violated already in this step.» (axbom.com, analisi originale 2020, principio ancora valido).
Non è un problema superato: un test tecnico live condotto a giugno 2026 su un embed youtube-nocookie.com reale conferma che il comportamento persiste identico — scrittura di yt-remote-device-id in localStorage/IndexedDB al caricamento, cookie completi dopo il click su Play, IP trasmesso a Google prima di qualunque interazione. Fonte: swarmify.com, test dal vivo, giugno 2026.
Il GDPR non regola solo i cookie: regola qualsiasi tecnica di tracciamento capace di identificare un individuo. Il localStorage rientra in questa categoria.
🔬 Cosa succede passo per passo
yt-remote-device-id nel localStorage. GDPR violato — nessun consenso richiesto.📋 La conclusione dei tecnici
Nella sintesi più diretta disponibile online, il developer Jason Grigsby di Cloud Four ha scritto: «YouTube no cookies isn’t a real feature. The reason many people call it YouTube no cookies is because the way to turn on YouTube Enhanced Privacy mode is by switching the domain. You would be forgiven for thinking that a domain that says nocookie wouldn’t set a cookie, but that’s not what happens.» (cloudfour.com).
| Comportamento | youtube.com | youtube-nocookie.com |
|---|---|---|
| Cookie al caricamento pagina | SÌ — immediati | NO — ritardati |
| localStorage al caricamento | SÌ | SÌ (yt-remote-device-id) |
| Cookie dopo click Play | SÌ | SÌ |
| Trasmissione IP a Google | SÌ | SÌ (dopo Play) |
| Conforme GDPR da solo | NO | NO |
| Riduce tracciamento iniziale | NO | PARZIALMENTE |
⚖️ Cosa serve realmente per essere GDPR-compliant
I professionisti legali della privacy convergono su una soluzione: anche con youtube-nocookie.com, un sito web deve implementare una soluzione a due click (two-click solution). Il video viene mostrato come anteprima statica con una immagine placeholder; solo dopo che l’utente ha cliccato esplicitamente su “Accetta” in un banner di consenso e poi su Play, il video viene caricato. Un click su Play da solo non costituisce consenso ai sensi del GDPR.
Non serve scomodare un singolo tribunale nazionale per stabilire il principio: lo ha già fatto la Corte di Giustizia dell’Unione Europea con la sentenza Planet49 dell’ottobre 2019, tuttora il precedente di riferimento in materia. La Corte ha stabilito che il consenso richiesto per l’archiviazione o l’accesso a informazioni sul dispositivo dell’utente si applica a prescindere dal fatto che i dati coinvolti siano dati personali — quindi copre esplicitamente anche il localStorage, non solo i cookie in senso stretto. È esattamente il principio che rende problematico, sul piano giuridico, il comportamento di youtube-nocookie.com descritto sopra. In Germania, dove il caso Planet49 è nato, l’autorità di controllo di Amburgo (HmbBfDI) resta una delle più attive d’Europa nel far rispettare questo principio, con sanzioni GDPR ricorrenti — ma non risulta una sentenza specifica del tribunale di Amburgo dedicata a youtube-nocookie.com: la base giuridica è quella, europea e generale, di Planet49.
