Consent Mode v2 step-by-step: setup pratico via GTM senza distruggere i dati

Consent Mode v2 si basa su quattro parametri booleani che comunicano a Google lo stato di consenso del visitatore. I due "storici" ereditati dalla v1: `ad_storage` (consenso alla profilazione pubblicitaria via cookie), `analytics_storage` (consenso ai cookie analitici). I due nuovi della v2, obbligatori dal 2024: `ad_user_data` (consenso all'uso dei dati personali per scopi pubblicitari), `ad_personalization` (consenso alla personalizzazione degli annunci, incluso il remarketing). Senza i due nuovi, le campagne perdono accesso a audience di remarketing e modeling.

Ogni parametro può avere valore `granted` (consenso concesso) o `denied` (consenso negato). Lo stato si dichiara due volte: una all'inizio (default state), prima che la CMP carichi, e una dopo che l'utente ha scelto (update state). Tra il default e l'update passano spesso tre o quattro secondi: in quel tempo, i tag che dipendono dal consenso restano in attesa. Quando l'update arriva, Google rilascia (o blocca) i tag in base alle scelte. È un sistema di semafori temporali: capirlo è il 90% del setup. [UNIQUE INSIGHT: la confusione più frequente è pensare che Consent Mode "sblocchi" tag che il consenso negherebbe. Non lo fa. Quello che fa è permettere a Google di ricevere ping cookieless da utenti senza consenso, da cui ricostruisce un modeling statistico delle conversioni.]

[IMAGE: schema visuale dei quattro parametri Consent Mode con valori denied/granted - search "cookie consent privacy"]

Basic Consent Mode: se il consenso è negato, i tag Google non partono per niente. Niente ping cookieless, niente modeling, niente conversioni. Setup semplice ma poco "redditizio" dal punto di vista della misurazione. Advanced Consent Mode: anche con consenso negato, i tag Google partono in modalità cookieless (senza cookie, senza identificatori, senza dati personali), inviando solo segnali minimi da cui Google ricostruisce un modello statistico di conversioni. Risultato: recupero del 30-70% delle conversioni perse.

Per una PMI che fa advertising su Google Ads, l'unico setup che ha senso è Advanced. Il Basic è una mezza misura che vincola alla compliance ma rinuncia al recupero dati. L'Advanced ha vincoli tecnici precisi: la CMP deve essere certificata Google CMP Partner, deve inviare l'update consent prima di qualunque tag di tracciamento, e devi accettare che i ping cookieless partano comunque (informandolo nella privacy policy, ma è informativa, non bloccante). [PERSONAL EXPERIENCE: il singolo intervento di passaggio da Basic ad Advanced, su un cliente B2B con conversioni form, ha portato GA4 a registrare il 38% in più di `generate_lead` nell'arco di 30 giorni. Le conversioni vere non sono cambiate: erano lì e non venivano contate.]

Tre pezzi che devono parlare tra loro: CMP (Consent Management Platform), GTM (Google Tag Manager), gtag/dataLayer (il bus di comunicazione). La CMP è il banner cookie che vede il visitatore: gestisce categorie di consenso, raccoglie la scelta, salva la preferenza. GTM è dove si configurano i tag e dove si applica il Consent Mode. Il dataLayer è il canale via cui CMP e GTM si parlano.

CMP certificate Google CMP Partner (versione minima da scegliere): Iubenda, Cookiebot, OneTrust, Usercentrics, Didomi. Ce ne sono altre, queste sono quelle che vedo di più nei progetti italiani. Iubenda è la più diffusa in Italia per ragioni di prezzo e supporto in italiano. Costo tipico: 40-100€/anno per la versione che fa il Consent Mode v2 con integrazione GTM. Le versioni free di queste CMP NON includono Consent Mode v2 quasi mai. Quindi: o budget per la CMP, o setup manuale via template community GTM. Il setup manuale è gratis ma richiede più cura e responsabilità diretta. Su questo, la guida ufficiale alla configurazione di GTM è qui.

Prima cosa concreta: scegli e installa la CMP. Esempio con Iubenda (perché in Italia è la più diffusa). Crei un account, configuri il banner cookie includendo le categorie GDPR standard (Necessari, Funzionali, Statistici/Analytics, Marketing), abiliti l'integrazione Google Consent Mode v2 dalle impostazioni avanzate, abiliti l'opzione Per-purpose Consent for Google che mappa le categorie sui quattro parametri. Iubenda genera un codice script da incollare prima dello snippet GTM. Importante: il codice CMP va prima di GTM, non dopo. Se metti GTM prima della CMP, Consent Initialization scatta su un default che non è ancora stato aggiornato.

Configurazione granulare: nelle impostazioni Iubenda, mappa "Statistici" su `analytics_storage`, "Marketing" su `ad_storage`, `ad_user_data` e `ad_personalization`. Test rapido: apri il sito in incognito, rifiuta tutto nel banner, apri Chrome DevTools, tab `Application, Cookies`, verifica che NON ci siano cookie con prefisso `_ga`, `_gcl`, `_fb`. Se ci sono, qualcosa non sta rispettando il consenso. Apri il sito da capo, accetta tutto, verifica che ora i cookie compaiano. Se questo test base funziona, sei a un terzo del lavoro.

[IMAGE: configurazione Iubenda con mappatura Consent Mode - search "cookie banner configuration"]

Vai in GTM, crea un nuovo tag, scegli il template Consent Initialization (è un template built-in di Google, lo trovi in `Tag Configuration, Consent Initialization`). Imposta il default state con tutti i quattro parametri a `denied`. Aggiungi `wait_for_update` a 500 millisecondi (è il tempo che GTM aspetta prima di applicare il default, lasciando spazio alla CMP di aggiornare). Aggiungi `region` con valore `EEA, UK` (oppure `IT` se vuoi essere più stretto). Il trigger di questo tag è Consent Initialization - All Pages, che è un trigger speciale che scatta prima di qualunque altro.

Default `denied` è una scelta obbligata: la legge presume non-consenso fino a esplicita accettazione. Default `granted` è una violazione GDPR diretta, e Google stesso lo dichiara nelle linee guida. Ogni tanto vedo container in cui il default è `granted`"per recuperare più dati": è illegale ed è il modo più rapido per beccarsi una segnalazione da utenti che fanno screenshot delle pagine senza banner cliccato. Default denied, sempre. Wait_for_update 500ms è un buon compromesso tra rapidità e affidabilità: se la tua CMP è lenta, alza a 1000ms.

Quando l'utente clicca "Accetta" o "Rifiuta" nel banner, la CMP deve sparare un evento al dataLayer che GTM riceve e usa per aggiornare lo stato dei quattro parametri. Per Iubenda con integrazione nativa Google Consent Mode, questo passaggio è automatico: la CMP chiama direttamente `gtag('consent', 'update', {...})` con i valori giusti. Per CMP senza integrazione nativa, devi configurare manualmente in GTM un tag Consent - Update legato a un trigger di tipo Custom Event (esempio: `cookie_consent_update`).

Test del consent update: apri il sito in incognito, abilita Preview mode di GTM (Tag Assistant), accetta il banner cookie. Nel pannello debug Tag Assistant cerca la scheda `Consent`. Dovresti vedere lo stato di partenza (`denied, denied, denied, denied`) e poi l'update (`granted, granted, granted, granted` se hai accettato tutto). Se l'update non compare, l'integrazione CMP-GTM è rotta: vai a vedere la documentazione specifica della tua CMP, o passa a una CMP certificata che gestisce questo passaggio out-of-the-box. L'update mancante è l'errore numero uno del Consent Mode v2 nei setup self-made.

Verifica multi-livello, perché la teoria è una cosa e la pratica un'altra. Livello uno: Tag Assistant in Preview mode mostra Consent Initialization scattato, default state corretto, update state corretto dopo accettazione. Livello due: DevTools tab Network, filtra per `collect`, controlla le chiamate a GA4. Senza consenso, devi vedere chiamate con parametro `gcs=G100` (denied) o ping cookieless con `tcf` parametri. Con consenso, chiamate con `gcs=G111` (granted). Se vedi le chiamate sempre uguali a prescindere dal consenso, qualcosa non comunica.

Livello tre: in GA4 vai in `Admin, Account Settings, Account Details` e attiva `Allow modeled data`. Dopo 28 giorni di dati (sì, 28, non 24 ore), in `Reports, Acquisition` la colonna conversioni mostrerà anche i "Modeled conversions". È il segnale che Consent Mode Advanced sta facendo il suo lavoro. Livello quattro: in Google Ads, `Tools, Diagnostics, Tag Diagnostics`, controlla che non ci siano warning su Consent Mode. Se vedi warning tipo "Consent Mode not detected" o "Consent Mode parameters missing", torna a Tag Assistant e debugga. [ORIGINAL DATA: dei 14 setup Consent Mode v2 che ho verificato per clienti che dichiaravano "tutto a posto", 9 avevano il default a `granted` (illegale) e 11 non avevano i due parametri nuovi `ad_user_data` e `ad_personalization` mappati. Solo 2 erano genuinamente Advanced funzionante.]

Lista per memoria. Default `granted`: illegale, sanzione potenziale, e di solito frutto di copia-incolla di guide vecchie pre-v2. Mancato update da CMP: il default resta `denied` per sempre, tutti i tag bloccati, nessuna conversione tracciata. Mappatura categorie sbagliata: l'utente accetta "Marketing" e tu non aggiorni `ad_user_data`, risultato remarketing non funziona. Solo due parametri (v1) invece di quattro (v2): vecchio setup non aggiornato, Google ti penalizza in Ads, marzo 2024 è già passato. Server-side bypass del consent: ridirigi gli eventi via sGTM senza rispettare il consenso, violazione GDPR diretta. Su sGTM correttamente integrato col consenso, c'è il pezzo dedicato a server-side tracking per PMI.

Consent Mode v2 è obbligatorio per legge?

No, Consent Mode v2 non è obbligatorio per legge: il GDPR è. Quello che è obbligatorio è il consenso esplicito prima di tracking di marketing/analytics. Google ha reso obbligatorio Consent Mode v2 da marzo 2024 per chi fa advertising in EEA/UK con Google Ads, pena la perdita di accesso al remarketing e al modeling. Quindi: legalmente no, contrattualmente con Google sì.

Posso usare Consent Mode v2 senza una CMP a pagamento?

Sì, esistono template community in GTM e CMP gratuite. Il prezzo è tempo: integrazione manuale, mancanza di supporto in caso di errori, update non automatici. Per una PMI che fa advertising, l'investimento in una CMP certificata (40-100€/anno) è quasi sempre ripagato in pochi mesi di dati recuperati.

I dati modeled sono affidabili?

Sono ricostruzioni statistiche basate sui pattern degli utenti consenzienti, applicati ai non consenzienti. Sono affidabili come segnale aggregato (volumi, trend, attribuzione) ma non per analisi user-level (non c'è un user-level: sono modeled). Per le decisioni di campagna sono utili. Per analisi di customer journey individuali, no.

Cosa cambia tra Iubenda, Cookiebot e OneTrust?

Tutte e tre sono CMP certificate Google. Iubenda è italiana, ha il miglior supporto in italiano, prezzo più accessibile per PMI (parte da circa 30€/anno per setup base). Cookiebot ha il vantaggio della scansione automatica dei cookie ed è molto solida tecnicamente. OneTrust è la scelta enterprise: più potente, più complessa, prezzi maggiori. Per la PMI italiana media, Iubenda è il default ragionevole.

Consent Mode v2 è la prima volta in cui compliance GDPR e qualità del tracciamento non sono in rotta di collisione. Configurato bene, il sito rispetta il consenso degli utenti E recupera la maggior parte dei dati che la v1 lasciava per strada. Configurato male, fa il peggio di entrambi i mondi: blocca i dati legittimi e lascia passare quelli che non dovrebbero passare. La differenza è in quattro passi tecnici, nessuno difficile in sé, tutti facili da sbagliare in combinazione.

Per il quadro più ampio sugli strumenti che alimentano davvero le campagne di marketing, dai un'occhiata a strumenti per l'advertising e novità di Google Ads. Per chi vuole un Consent Mode v2 fatto e governato da chi gestisce siti, GTM e campagne ogni giorno, la strada più rapida resta una telefonata al 329 128 68 25. Setup di Consent Mode mal fatti li ho visti in tutte le declinazioni possibili, e dopo dieci anni nel mestiere il riconoscimento del problema è questione di secondi.

• Setup GA4 da zero: guida 2026
• Google Tag Manager: setup e debug per PMI
• Server-side tracking: quando conviene a una PMI