Categoria: Design ingannevole (dark pattern)Score: 45

Dettagli tecnici

Severità
medium
Attack vector
youtube-nocookie.com — localStorage senza consenso (confermato con test tecnico live, giu. 2026)
Vendor
Google / YouTube

Contesto e impatto

Fonte primaria
Per Axbom (2020) / Dustin Whisman (2023) / Swarmify — test tecnico dal vivo, giu. 2026
Normativa / riferimento
GDPR (consenso, art. 5-7) — ePrivacy Directive art. 5(3) — CGUE, causa Planet49 (C-673/17)
Giurisdizione
UE
Dati aggiornati al
2026-07-03
YouTube — Puntata 2: La menzogna del NoCookie
Inchiesta YouTube & il Potere Invisibile · Puntata 2 di 5

YouTube & il Potere Invisibile

youtube-nocookie.com promette privacy nel suo stesso nome. Ma fa quello che promette? La risposta documentata vi sorprenderà.

📅 Aggiornato: 3 luglio 2026 🔢 Puntata 2 di 5 🔗 Fonti pubbliche certificate
Puntata 2 di 5

La menzogna del NoCookie: perché youtube-nocookie.com è un’illusione di privacy

Un dominio che promette privacy nel suo stesso nome. Ma fa quello che promette? La risposta documentata vi sorprenderà — e forse arrabbierà.

Dark surrealist editorial: A cookie jar labeled “NO COOKIES” is sitting on a table, but its shadow on the wall behind it reveals the shape of a surveillance camera. The jar appears empty but glows faintly from inside. Noir lighting, black and teal palette. Photorealistic editorial style. No text. 16:9.

🍪 Cos’è youtube-nocookie.com

Quando un sito web vuole incorporare un video YouTube, può usare due URL: il classico youtube.com oppure youtube-nocookie.com, associato alla “Modalità privacy avanzata” di YouTube. Il nome e la dicitura ufficiale suggeriscono che questa modalità riduca il tracciamento. E in parte è vero. Ma la parola “nocookie” è profondamente fuorviante, e diversi esperti di privacy lo hanno documentato pubblicamente.

⚖️ Le differenze reali — Fonti: axbom.com, dustinwhisman.com, verifica tecnica indipendente giugno 2026
  • youtube.com (embed standard): I cookie vengono impostati immediatamente al caricamento della pagina, prima che l’utente faccia qualsiasi cosa, senza consenso. Avvia il tracciamento completo della sessione.
  • youtube-nocookie.com (privacy avanzata): I cookie vengono ritardati fino all’interazione dell’utente (click su Play). Ma in compenso, al caricamento della pagina, YouTube scrive immediatamente nel localStorage del browser un identificatore univoco del dispositivo — senza consenso. Questo viola il GDPR esattamente come farebbe un cookie.
  • Cosa viene scritto nel localStorage: yt-remote-device-id (identificatore dispositivo), ytidb::LAST_RESULT_ENTRY_KEY, database IndexedDB YtIdbMeta. Tutti persistenti, tutti senza consenso.
⚠ VIOLAZIONE GDPR DOCUMENTATA — CONFERMATA ANCORA VALIDA A GIUGNO 2026

Come ha scritto il ricercatore svedese Per Axbom: «If you use the youtube-nocookie.com domain, there is no cookie set when the page with the YouTube embed loads. Instead, YouTube utilizes something called Local Storage in your browser to store a unique device identifier. Note that this is done without anyone’s consent and GDPR is violated already in this step.» (axbom.com, analisi originale 2020, principio ancora valido).

Non è un problema superato: un test tecnico live condotto a giugno 2026 su un embed youtube-nocookie.com reale conferma che il comportamento persiste identico — scrittura di yt-remote-device-id in localStorage/IndexedDB al caricamento, cookie completi dopo il click su Play, IP trasmesso a Google prima di qualunque interazione. Fonte: swarmify.com, test dal vivo, giugno 2026.

Il GDPR non regola solo i cookie: regola qualsiasi tecnica di tracciamento capace di identificare un individuo. Il localStorage rientra in questa categoria.

🔬 Cosa succede passo per passo

1
Caricamento pagina (nessuna azione utente)
YouTube scrive yt-remote-device-id nel localStorage. GDPR violato — nessun consenso richiesto.
2
Utente clicca “Play”
YouTube imposta uno o più cookie di sessione. Da questo momento il tracciamento completo è attivo. Secondo punto di violazione.
3
Sessione video
I dati di visualizzazione vengono trasmessi ai server Google: IP, durata, interazioni, dispositivo. Identici al comportamento di youtube.com.
4
Sessione chiusa, dati trasferiti negli USA
I dati vengono inviati a server Google negli USA (e potenzialmente altri paesi). Il trasferimento extra-UE richiede base giuridica adeguata — e qui inizia un altro filone di criticità.

📋 La conclusione dei tecnici

Nella sintesi più diretta disponibile online, il developer Jason Grigsby di Cloud Four ha scritto: «YouTube no cookies isn’t a real feature. The reason many people call it YouTube no cookies is because the way to turn on YouTube Enhanced Privacy mode is by switching the domain. You would be forgiven for thinking that a domain that says nocookie wouldn’t set a cookie, but that’s not what happens.» (cloudfour.com).

📊 Confronto tecnico youtube.com vs youtube-nocookie.com
Comportamento youtube.com youtube-nocookie.com
Cookie al caricamento pagina SÌ — immediati NO — ritardati
localStorage al caricamento SÌ (yt-remote-device-id)
Cookie dopo click Play
Trasmissione IP a Google SÌ (dopo Play)
Conforme GDPR da solo NO NO
Riduce tracciamento iniziale NO PARZIALMENTE

⚖️ Cosa serve realmente per essere GDPR-compliant

I professionisti legali della privacy convergono su una soluzione: anche con youtube-nocookie.com, un sito web deve implementare una soluzione a due click (two-click solution). Il video viene mostrato come anteprima statica con una immagine placeholder; solo dopo che l’utente ha cliccato esplicitamente su “Accetta” in un banner di consenso e poi su Play, il video viene caricato. Un click su Play da solo non costituisce consenso ai sensi del GDPR.

📁 Il precedente legale che conta davvero — CGUE, causa Planet49 (C-673/17)

Non serve scomodare un singolo tribunale nazionale per stabilire il principio: lo ha già fatto la Corte di Giustizia dell’Unione Europea con la sentenza Planet49 dell’ottobre 2019, tuttora il precedente di riferimento in materia. La Corte ha stabilito che il consenso richiesto per l’archiviazione o l’accesso a informazioni sul dispositivo dell’utente si applica a prescindere dal fatto che i dati coinvolti siano dati personali — quindi copre esplicitamente anche il localStorage, non solo i cookie in senso stretto. È esattamente il principio che rende problematico, sul piano giuridico, il comportamento di youtube-nocookie.com descritto sopra. In Germania, dove il caso Planet49 è nato, l’autorità di controllo di Amburgo (HmbBfDI) resta una delle più attive d’Europa nel far rispettare questo principio, con sanzioni GDPR ricorrenti — ma non risulta una sentenza specifica del tribunale di Amburgo dedicata a youtube-nocookie.com: la base giuridica è quella, europea e generale, di Planet49.

📚 Fonti di questa puntata

1
TecnicoPer Axbom — “Embed YouTube Videos Without Cookies” (analisi originale localStorage) · axbom.com
2020
2
TecnicoDustin Whisman — “youtube-nocookie.com will still track user data” · dustinwhisman.com
2023
3
TecnicoCloud Four — “YouTube No Cookies Adds Cookies” · cloudfour.com
2023
4
TecnicoSwarmify — “What Is youtube-nocookie.com? The Honest Answer” (test tecnico dal vivo) · swarmify.com
giu. 2026
5
LegaleCorte di Giustizia UE — Sentenza Planet49 (causa C-673/17), consenso esteso oltre i soli cookie · curia.europa.eu
1 ott. 2019
6
UfficialeGoogle — DMA / Digital Markets Act — Consenso per EEA (YouTube data sharing) · business.safety.google
mar. 2024
Inchiesta originale in 5 puntate · Aggiornata al 3 luglio 2026
Nessun testo è stato riprodotto integralmente da fonti terze: tutti i fatti riportati sono rielaborati in forma originale con attribuzione.
Tutti gli URL erano attivi e accessibili alla data di pubblicazione.
Questo articolo non costituisce consulenza legale.