Quanto dura un cookie web?

La durata di un cookie web è determinata dal suo attributo di scadenza, impostato dal server del sito web emittente (intestazione “Set-Cookie”) o tramite JavaScript. I cookie di sessione persistono solo durante una sessione attiva del browser e vengono eliminati alla chiusura (RFC 6265, Sezione 5.3). I cookie persistenti, al contrario, hanno date di scadenza esplicite, che possono variare da pochi secondi a diversi anni (Barth, 2011). In pratica, la durata scelta riflette sia i requisiti tecnici che le considerazioni sulla privacy.

I cookie di sessione sono essenziali per la gestione temporanea dello stato, come mantenere gli utenti connessi o tracciare la navigazione all'interno di una singola visita. Vengono rimossi automaticamente alla chiusura del processo del browser (Roesner et al., 2012).

I cookie persistenti consentono la memorizzazione a lungo termine delle preferenze dell'utente e dei token di autenticazione. Possono rimanere nella memoria del browser fino alla loro data di scadenza o fino a quando non vengono eliminati manualmente dall'utente. Studi empirici hanno segnalato cookie persistenti con durate superiori a cinque anni, spesso utilizzati per scopi di analisi o pubblicitari (Acar et al., 2014; Englehardt & Narayanan, 2016).

Le normative sulla privacy non impongono limiti espliciti sulla durata dei cookie. Tuttavia, la Direttiva ePrivacy dell'UE raccomanda il rinnovo periodico del consenso dell'utente per i cookie, tipicamente almeno una volta all'anno (Commissione Europea, 2002/58/CE; si vedano anche le Linee guida EDPB 05/2020). Molte organizzazioni impostano ora la durata dei cookie persistenti a dodici mesi o meno per soddisfare gli standard di conformità in evoluzione.

Gli utenti possono eliminare manualmente i cookie in qualsiasi momento tramite le impostazioni del browser, sovrascrivendo qualsiasi scadenza preimpostata. Inoltre, browser come Safari e Firefox utilizzano tecniche di prevenzione del tracciamento che possono ridurre ulteriormente la durata dei cookie, talvolta limitando i cookie di terze parti a 7 giorni o meno (Mayer & Mitchell, 2012).

In sintesi:

• I cookie di sessione esistono solo durante una sessione attiva.
• I cookie persistenti possono durare da pochi secondi ad anni, a seconda della data di scadenza impostata.
• Non è imposto un massimo legale, ma la prassi del settore favorisce sempre più il rinnovo annuale.
• Le funzionalità del browser e gli strumenti per la privacy possono ridurre la durata dei cookie oltre quanto previsto dagli editori.