ay for OK: bilancia con monete e simbolo della privacy davanti a sito web con cookie wall, concetto di consenso non libero e monetizzazione dei dati

“Pay or OK”: quando accettare i cookie diventa un pedaggio digitale

Una libertà solo apparente

Hai mai provato a leggere un articolo su un sito di notizie e ti sei trovato davanti a questa scelta: “Accetti tutti i cookie o paghi?”
Nessuna via di mezzo, nessuna personalizzazione reale.
Solo un aut-aut che sa più di ricatto che di consenso informato.

Questa pratica, sempre più diffusa soprattutto tra i media digitali, ha un nome: “Pay or OK”.
E sta ridefinendo in modo preoccupante il significato di “libertà di scelta” nel mondo digitale.

1. Cosa significa davvero “Pay or OK”

Il meccanismo è semplice, almeno in apparenza: per accedere al contenuto, puoi accettare tutti i cookie traccianti (che permettono al sito di monetizzare i tuoi dati) oppure pagare un abbonamento – a volte anche solo per leggere un singolo articolo – in alternativa alla profilazione.

A prima vista, sembrerebbe una modalità legittima: il sito offre due opzioni, entrambe accessibili.

Ma nella sostanza, l’asimmetria è evidente.

Ecco perché:

  • I cookie vengono spesso accettati per sfinimento o fretta, non per reale volontà.
  • L’abbonamento rappresenta una barriera economica, dissuadendo chiunque non sia fortemente motivato.
  • L’alternativa “gratuita” è tale solo se accetti di essere tracciato in ogni tua azione online.

È ancora consenso libero quando una delle due opzioni è economicamente punitiva?

I cookie wall rappresentano una delle forme più aggressive di limitazione della libertà dell’utente.
Diversamente dai semplici cookie banner (che informano e permettono una scelta, anche se spesso in modo ambiguo), i cookie wall impediscono l’accesso ai contenuti se non si accetta la profilazione o si paga.
In pratica, non si tratta di una vera opzione, ma di una forzatura mascherata.

2. Il nodo giuridico e il parere delle autorità

In Europa, il consenso ai cookie deve essere:

  • libero
  • specifico
  • informato
  • inequivocabile

Questo è il cuore della Direttiva ePrivacy e dei chiarimenti successivi del Comitato Europeo per la Protezione dei Dati (EDPB).
Ma attenzione: opera congiuntamente anche il GDPR, poiché il trattamento dei dati personali effettuato tramite cookie traccianti (come quelli di profilazione) ricade a pieno titolo nell’ambito di applicazione del Regolamento generale sulla protezione dei dati.

Di conseguenza, l’utilizzo dei cookie che comportano il trattamento di dati personali richiede non solo il rispetto delle regole della Direttiva ePrivacy, ma anche:

  • la corretta individuazione della base giuridica del trattamento (art. 6 GDPR);
  • il rispetto dei principi di minimizzazione, trasparenza e responsabilizzazione (artt. 5 e 24 GDPR);
  • l’informativa conforme agli articoli 12-14 GDPR;
  • e la possibilità di revocare il consenso in ogni momento.

Nel parere 05/2020, l’EDPB ha già espresso dubbi sulla validità del consenso ottenuto in contesti “vincolanti”, ad esempio quando la mancata accettazione dei cookie impedisce l’accesso a un servizio.

Alcune autorità, come il CNIL francese, hanno tollerato i cookie wall se c’è una vera alternativa a pagamento.
Ma altre – tra cui l’EDPB  stesso e il Garante italiano – tendono a considerare queste pratiche al limite della legalità, proprio per l’asimmetria e la difficoltà di dire “no” senza penalità.

In Italia, dopo le istruttorie avviate nel 2022, il Garante ha adottato il provvedimento n. 272 del 29 aprile 2025, che rappresenta un’importante presa di posizione: il modello “Pay or OK” – che propone l’accesso gratuito ai contenuti solo in cambio della profilazione pubblicitaria, oppure tramite pagamento – solleva seri dubbi in merito alla libertà, specificità e consapevolezza del consenso.

Il Garante ha quindi avviato una consultazione pubblica, volta a raccogliere osservazioni da cittadini, imprese, professionisti e associazioni, per valutare soluzioni che garantiscano alternative realmente rispettose dei diritti digitali.
Ha inoltre invitato a considerare opzioni meno invasive, come la pubblicità contestuale, e a evitare che il consenso sia aggregato e poco prevedibile, coinvolgendo centinaia di soggetti terzi.

Questa posizione segna un cambio di passo verso una regolamentazione più strutturata, che mira a tutelare l’equilibrio tra libertà d’informazione, modelli di business editoriali e diritto alla protezione dei dati personali.

3. Libertà digitale o pedaggio invisibile?

Prima di tutto, cos’è il consenso granulare?
È una modalità che consente all’utente di accettare – o rifiutare – in modo selettivo le diverse categorie di cookie o trattamenti dei dati.
In altre parole, invece di un unico pulsante “Accetta tutto”, viene proposta una schermata dettagliata in cui l’utente può scegliere:

  • se accettare solo i cookie funzionali,
  • negare quelli pubblicitari,
  • accettare le statistiche solo se anonime,
  • oppure disattivare del tutto il tracciamento non essenziale.

Il consenso granulare è previsto esplicitamente dalle linee guida del Garante e rappresenta una buona prassi di trasparenza, perché rispetta:

  • la libertà di scelta dell’utente,
  • il principio di minimizzazione del trattamento,
  • e l’accountability del titolare.

Nel contesto dell’economia digitale, il “Pay or OK” rivela una tensione profonda: quanto vale la nostra privacy?

E soprattutto: siamo davvero liberi di dire di no?

Il problema non è solo giuridico, ma culturale.
Accettare ogni tracciamento per leggere un articolo non è “normale”: è un meccanismo che abitua l’utente a scambiare libertà per comodità. E spesso senza consapevolezza.

Ci sono alternative?

  • Sì, esistono modelli editoriali che rispettano la privacy, puntando su contenuti di qualità e abbonamenti trasparenti.
  • Sì, è possibile implementare sistemi di consenso granulare, che non costringano l’utente a dire “sì a tutto” o a pagare.

Ma servono scelte coraggiose, da parte dei gestori dei siti… e dei lettori.

Conclusione: oltre il click, la consapevolezza

In un’epoca in cui tutto sembra a portata di click, la vera sfida è scegliere consapevolmente.
Non tutto ciò che è “tecnicamente legale” è anche equo o giusto.

Come cittadini digitali, possiamo:

  • chiedere trasparenza e rispetto della nostra privacy;
  • sostenere chi non monetizza sulla nostra identità;
  • e soprattutto, riscoprire il valore di ciò che leggiamo, anche pagando, ma sapendo per cosa stiamo pagando.

La libertà interiore comincia anche da una finestra del browser.

FAQ

Qual è la differenza tra cookie tecnici e cookie di profilazione?

I cookie tecnici sono essenziali per il funzionamento del sito (es. memorizzare la lingua o il login), mentre quelli di profilazione raccolgono informazioni sull’utente per finalità commerciali o pubblicitarie. Solo per questi ultimi è necessario il consenso.

È legale impedire l’accesso a un sito se non si accettano i cookie?

Secondo il Garante italiano e l’EDPB, no: il consenso deve essere libero e non condizionato all’accesso. I cookie wall sono pratiche borderline, accettabili solo in casi molto specifici e con reale alternativa.

I cookie wall violano il GDPR?

Non in senso stretto, ma possono violare i principi del Regolamento ePrivacy e delle linee guida sul consenso, soprattutto se non offrono una scelta reale o penalizzano l’utente che non accetta.

Come posso difendermi da questi meccanismi?

Puoi usare browser con blocco dei tracker, segnalare pratiche scorrette al Garante e privilegiare fonti che rispettano la tua privacy. Il primo passo è riconoscere quando una scelta non è davvero tale.

🔔 Vuoi restare aggiornato ogni settimana su contenuti legali, attualità e consigli pratici?

Iscriviti gratuitamente a uno dei miei canali:

– 🟢 WhatsApp → https://avvocatonardini.it/whatsapp
– 🔵 Telegram → https://t.me/stefano_nardini
– 🔴 YouTube → https://www.youtube.com/@StefanoNardiniStudio

Nessuna pubblicità. Solo contenuti utili, selezionati e chiari.

Foto dell'Avv. Stefano Nardini, esperto in diritto digitale e privacy

Autore: Avv. Stefano Nardini

Avvocato, esperto in diritto delle nuove tecnologie, privacy e sicurezza informatica. Opera da oltre 20 anni nella consulenza per imprese, professionisti ed enti pubblici in materia di GDPR, compliance e innovazione digitale. Data Protection Officer e Privacy Officer certificato.

Questo articolo riflette l’esperienza maturata direttamente sul campo, nella gestione di casi reali in tema di identità digitale e protezione dei dati.

🔗 Scopri di più sull’autore

L’autore ha impiegato strumenti di intelligenza artificiale come supporto redazionale, curando personalmente la selezione, l’organizzazione e la verifica rigorosa dei contenuti.

Condividi, scegli il tuo social network!

Articoli simili

Fact checking – l’insostenibile “leggerezza” della censura
 |  |  | 

Fact checking – l’insostenibile “leggerezza” della censura

DiStefano Nardini

È di ieri la notizia della possibile istituzione di una “task force” sulle fake news alla quale, come al solito, si è risposto a tifoserie schierate: chi aprioristicamente a favore e chi terroristicamente contro. Proprio oggi un amico mi segnala di un suo post personale, pubblicato nel suo profilo facebook con privacy limitata agli amici,…

Sì all’immediata risoluzione per COVID della locazione dei “fuori sede”
 | 

Sì all’immediata risoluzione per COVID della locazione dei “fuori sede”

DiAdmin

Il problema del permanere dell’obbligo del pagamento del canone nelle locazioni stipulate dagli studenti universitari “fuori sede” e del permanere dei contratti stessi (che per legge, possono avere una durata da 6 mesi a 3 anni) sta ottenendo risposte molteplici, ma le soluzioni proposte appaiono per lo più insoddisfacenti e non risolutive. Si legge infatti…

Coronavirus: internet sotto pressione ma il sistema regge bene.
 | 

Coronavirus: internet sotto pressione ma il sistema regge bene.

DiAdmin

Telelavoro, Smart Working, Giochi e Streaming, Digital Divide: con l’isolamento in casa imposto è aumentato moltissimo il traffico dati sulle infrastrutture, ma il sistema sta reggendo bene. L’aumento del traffico sulla rete è un tema che gli operatori del settore telecomunicazioni stanno affrontando da tempo ma, fino ad ora, era un trend di crescita. Ora,…

Smart Working – Senza anticorpi quelle che rischiano davvero sono solo le imprese italiane!
 |  | 

Smart Working – Senza anticorpi quelle che rischiano davvero sono solo le imprese italiane!

DiAdmin

Lo Smart Working (che non è solo lavorare da casa o telelavoro) richiede un approccio organizzativo, un livello di conoscenze e competenze e di responsabilizzazione, a cui le nostre imprese non sembrano preparate. Cominciamo col dire che “Smart Working” non significa solo lavorare da casa o da remoto. E’ un diverso approccio strategico che punta…

Attacchi hacker a ripetizione: la sicurezza che non c’è.
 | 

Attacchi hacker a ripetizione: la sicurezza che non c’è.

DiAdmin

Diffusi i dati di accesso di 30.000 PEC di avvocati, pubblicate le credenziali di accesso dell’Associazione Nazionale Primari Ospedalieri, rubate le credenziali anche dal sito di Assistsanita. La cultura della sicurezza informatica non risiede in Italia! Si moltiplicano le segnalazioni di violazioni, attacchi hacker, sottrazioni di password pubblicate poi on line. E’ evidente che la cultura della…

Identità digitali e possibili problemi.
 |  | 

Identità digitali e possibili problemi.

DiStefano Nardini

E’ di poche ore fa la notizia che gli account  di Joe Biden, Elon Musk, Jeff Bezos e altri account Twitter di alto profilo tra cui quello dell’ex presidente degli Stati Uniti Barack Obama e del co-fondatore di Microsoft Bill Gates e gli account aziendali sia di Uber che di Apple sono stati hackerati per…