Da quando il Garante italiano ha sanzionato nel 2022 l'uso di Google Analytics nella versione Universal (UA), il dibattito su GA4 e GDPR non si è mai fermato. Nel 2026 lo scenario è cambiato di nuovo: nuovo framework Data Privacy Framework UE-USA, nuove funzionalità di Google per la conformità, ma anche nuovi dubbi sollevati dalle autorità.
Questa guida fa il punto operativo per chi deve decidere cosa fare oggi sul proprio sito.
La situazione nel 2026: cosa è cambiato
Il Data Privacy Framework UE-USA
Nel luglio 2023 è entrato in vigore il Data Privacy Framework (DPF), il nuovo accordo UE-USA per il trasferimento dei dati. Google è certificata sotto questo framework, il che significa che il trasferimento dei dati raccolti da GA4 verso server USA ha una base legale rinnovata.
Cosa significa concretamente? Usare GA4 nel 2026 è legale se rispetti alcuni requisiti tecnici e contrattuali (vedi sezione "configurazione conforme" più sotto).
Ma le autorità europee non hanno cambiato del tutto idea
Diverse autorità nazionali (compresa la francese CNIL) continuano a sollevare dubbi specifici sull'implementazione predefinita di GA4, soprattutto per:
- IP anonymization (sì, GA4 anonimizza l'IP, ma il process server-side è sotto analisi)
- User-ID e Client-ID (identificatori persistenti che possono essere classificati come dato personale)
- Consent Mode v2 (è la pezza tecnica, ma va configurata correttamente)
Il Garante italiano nel 2026 non ha emesso nuove sanzioni dopo l'entrata in vigore del DPF, ma ha lasciato in vigore le precedenti. Lo stato dell'arte è: GA4 è usabile con la configurazione giusta, ma resta un'area grigia.
Configurazione GA4 conforme GDPR: checklist
Se decidi di restare su GA4, questi sono i punti che devi implementare nel 2026:
1. Consent Mode v2 attivo
Da marzo 2024, Consent Mode v2 è obbligatorio se vuoi continuare a tracciare conversioni per Google Ads in modo conforme. Va configurato sul tuo sito (via GTM o codice diretto) e collegato al tuo CMP (Cookiebot, Iubenda, OneTrust, ecc.).
Configurazione minima:
ad_storage: consenso pubblicitarioanalytics_storage: consenso analiticoad_user_data: trasferimento dati utente a Googlead_personalization: personalizzazione annunci
Se uno di questi consensi manca, GA4 va in modalità "consent-less" e raccoglie dati anonimi aggregati.
2. IP anonymization
In GA4 l'IP è automaticamente anonimizzato. Non devi configurare nulla. Tuttavia verifica che nelle DPA con Google sia esplicitato il trattamento.
3. Data retention ridotta
Imposta la data retention a 2 mesi (il minimo) nelle impostazioni della proprietà GA4. Default è 14 mesi.
Va in: Admin → Property → Data Settings → Data Retention.
4. Google Signals disabilitato
Google Signals raccoglie dati cross-device e cross-platform dai dispositivi degli utenti loggati a Google. Per essere conforme GDPR, disabilita Google Signals (Admin → Property → Data Settings → Data Collection).
5. Disabilita gli ID pubblicitari
Sempre nelle Data Settings, disabilita l'uso degli ID pubblicitari per la personalizzazione.
6. Cookie banner conforme
Il banner cookie deve:
- Permettere di rifiutare facilmente come accettare (no "dark pattern")
- Memorizzare la scelta dell'utente
- Comunicare con il Consent Mode v2 di Google
- Non tracciare prima del consenso esplicito
Strumenti CMP affidabili: Iubenda, Cookiebot, OneTrust, Usercentrics. Evita soluzioni custom non certificate: il rischio sanzionatorio è altissimo.
Le alternative a Google Analytics nel 2026
Anche con la configurazione conforme, alcune aziende preferiscono migrare a piattaforme di analytics che evitano del tutto il problema del trasferimento dati extra-UE. Le opzioni serie nel 2026 sono:
Matomo
Volumi di ricerca: 2.400/mese in Italia (la più cercata tra le alternative).
Pro:
- Open source, self-hosted (dati su server in UE)
- Compatibilità con plugin esistenti (WordPress, Magento, ecc.)
- Funzionalità simili a GA4 (event tracking, funnel, segmentazione)
- Versione cloud su server EU disponibile
Contro:
- Setup self-hosted richiede competenze tecniche
- Versione cloud più costosa di GA4 (gratis per Google)
- Meno integrazioni con piattaforme di marketing automation
Costi: Self-hosted gratis (escluso server €20-50/mese). Cloud da €29/mese fino a €500+/mese.
Quando ha senso: PMI con focus su compliance, settori regolamentati (finanza, salute, PA), aziende con dati sensibili.
Plausible Analytics
Pro:
- Lightweight (script di 1KB vs 50KB di GA4)
- Server in UE (Germania)
- Senza cookie (non richiede consenso banner)
- Dashboard semplice e leggibile
Contro:
- Funzionalità ridotte rispetto a GA4 (no funnel avanzati, no segmentazione complessa)
- Nessuna integrazione con Google Ads
- Niente raccolta di user properties custom
Costi: da €9/mese (10k page view) a €69/mese (1M page view).
Quando ha senso: siti vetrina, blog editoriali, aziende che vogliono privacy by design e accettano funzionalità più semplici.
Umami
Pro:
- Open source self-hosted
- Setup molto semplice (Docker)
- Dashboard moderna
- Nessun cookie tracking
Contro:
- Meno maturo di Matomo
- Community più piccola, meno plugin
Costi: Self-hosted gratis. Cloud da €9/mese.
Quando ha senso: team tech-savvy che vogliono un'alternativa moderna a Plausible con più controllo.
Fathom
Pro:
- Simile a Plausible (privacy-first, no cookie)
- Server in UE
- API ricche
Contro:
- Prezzo medio-alto
- Funzionalità limitate rispetto a GA4
Costi: da $15/mese.
Quando migrare da GA4 a un'alternativa
Migrare ha senso se:
-
Sei in un settore regolamentato (finanza, salute, PA, legal) dove la compliance è critica e i clienti chiedono garanzie sul trattamento dati.
-
Hai un team tecnico che può gestire un setup self-hosted (Matomo, Umami) con backup, security update, monitoring.
-
Le funzionalità avanzate di GA4 non ti servono. Se non usi funnel avanzati, predictive metrics, audience builder, allora le alternative ti danno il 90% del valore al 10% della complessità.
-
Vuoi davvero privacy by design (no banner cookie, no consent management). Plausible e Umami in modalità no-cookie sono la scelta giusta.
Non migrare se:
- Usi GA4 integrato con Google Ads (perdi conversion tracking)
- Hai funnel custom complessi già configurati
- Il tuo CMP è già ben integrato con Consent Mode v2
- Hai un sito ad alto traffico dove il costo di alternative cresce molto
La strategia ibrida che funziona meglio
Molte aziende nel 2026 stanno adottando una strategia ibrida:
- GA4 per integrazione con Google Ads e funzionalità avanzate
- Plausible o Matomo per metriche di traffico privacy-first
Il costo è doppio (poco, in termini assoluti) ma:
- Hai sempre dati anche se GA4 viene bloccato (consent rifiutato, ad blocker)
- Per il reporting interno usi il dato più affidabile (privacy-first analytics)
- Per il marketing performance usi GA4 (integrazione con Ads)
Questa è la nostra raccomandazione operativa per la maggior parte delle PMI nel 2026.
Cosa fare ora: quick action list
- Audit la tua configurazione GA4 attuale (Consent Mode v2 attivo? Data retention a 2 mesi? Google Signals off?)
- Verifica il tuo CMP (è certificato? supporta Consent Mode v2?)
- Valuta una migrazione ibrida affiancando Plausible o Matomo a GA4
- Aggiorna la DPA con Google se non l'hai fatto dopo l'entrata in vigore del Data Privacy Framework
- Aggiorna la privacy policy del sito con i trattamenti effettivi
Ti serve aiuto per configurare GA4 in modo conforme GDPR o per migrare a un'alternativa? Compila il quiz di scoping: 5 domande, 2 minuti. Entro 24 ore ti diciamo se la tua configurazione attuale è a posto, cosa cambiare, e se conviene migrare.