Il 3 dicembre 2025 il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato le Recommendations 2/2025 on the legal basis for requiring the creation of user accounts on e-commerce websites, disponibili per consultazione pubblica sul sito ufficiale dell’EDPB.
Il documento interviene su una prassi tutt’altro che marginale nell’economia digitale: la richiesta agli utenti di creare un account per finalizzare un acquisto.
Anche se molte piattaforme prevedono un flusso di checkout “guest”, senza obbligare l’utente alla creazione di un account, l’EDPB interviene per evidenziare come tale obbligo, quando imposto, sia spesso difficilmente giustificabile alla luce dell’articolo 6(1)(b) del GDPR, che consente il trattamento dei dati quando strettamente necessario per l’esecuzione di un contratto.
Indice degli argomenti
Account obbligatori nell’e-commerce e fidelizzazione
Il testo nasce da una constatazione precisa: in numerosi contesti commerciali, la creazione dell’account non risponde a un reale bisogno tecnico, bensì a una strategia di marketing orientata alla fidelizzazione, alla profilazione o all’estensione nel tempo della relazione commerciale con l’utente. Ciò anche quando quest’ultimo desidera semplicemente completare una transazione occasionale.
L’EDPB sottolinea che la registrazione obbligatoria comporta una raccolta e conservazione di dati ben più ampia rispetto a quella richiesta per un acquisto singolo, con conseguente aumento dell’esposizione ai rischi di sicurezza legati alla proliferazione di credenziali e profili inutilizzati.
Lo scopo delle raccomandazioni è quindi quello di chiarire i limiti della “necessità” ai sensi del GDPR, distinguendo ciò che è realmente indispensabile per fornire un bene o un servizio, da ciò che rappresenta invece un’opzione aggiuntiva e deve essere gestita tramite basi giuridiche diverse (spesso il consenso).
Nelle comuni transazioni online, osserva l’EDPB, il flusso di acquisto come ospite è sufficiente e dovrebbe rappresentare la scelta predefinita, coerente con i principi di “data protection by design and by default”.
La pubblicazione del documento avviene in una fase in cui l’Unione europea sta rafforzando il quadro della digital identity, attraverso iniziative come l’European Digital Identity Wallet, e ciò rende ancora più evidente l’inadeguatezza di un ecosistema in cui le diverse piattaforme richiedono la creazione di un account separato.
L’esistenza di un portafoglio digitale europeo rende meno rilevante la creazione di account locali per ogni piattaforma e più plausibile un sistema in cui l’identificazione dell’utente avviene in modo interoperabile, selettivo e con un controllo più solido sulle informazioni condivise.
Le raccomandazioni dell’EDPB dialogano implicitamente con questa evoluzione: minimizzare i trattamenti oggi significa preparare un terreno più coerente con l’identità digitale europea di domani.
In questo scenario, la registrazione obbligatoria è quindi sia una questione di eccesso di trattamento dati che un ostacolo strutturale alla costruzione di un ambiente digitale più efficiente, interoperabile e centrato sull’utente.
Perché l’EDPB interviene: motivazioni e problemi rilevati
Le raccomandazioni rappresentano una risposta a un uso ampio e spesso improprio dell’articolo 6(1)(b) del GDPR.
È frequente che alcune piattaforme presentino l’account come requisito per acquistare, spesso sostenendo nelle loro informative che si tratti di una condizione necessaria per completare la transazione.
Giustificazione che, secondo l’EDPB, non regge dal punto di vista del GDPR.
L’EDPB chiarisce, infatti, quanto doveva già essere da tempo assodato, e cioè che la mera utilità commerciale o l’opportunità di offrire servizi accessori non coincidono con la necessità giuridica richiesta dal regolamento.
Per completare una transazione, infatti, non occorre un profilo permanente: sono sufficienti i dati indispensabili alla gestione dell’ordine, del pagamento e della consegna; qualsiasi attività ulteriore richiede una base giuridica distinta e non può essere ricondotta automaticamente all’esecuzione del contratto.
Il documento richiama inoltre l’attenzione su un problema più profondo: la moltiplicazione degli account, spesso creati per un acquisto occasionale e poi abbandonati. Questo comportamento produce una vasta quantità di credenziali inutilizzate che, nel tempo, aumentano la superficie di attacco in caso di violazioni di sicurezza.
La presenza di profili inattivi, spesso dimenticati dagli utenti, comporta la conservazione prolungata di dati personali che non servono più allo scopo originario della raccolta e genera criticità sia in termini di gestione che di protezione dei dati.
L’EDPB interpreta questa situazione come una conseguenza di un approccio alla UX sbilanciato sulle esigenze dell’impresa e non sufficientemente attento ai principi di minimizzazione e proporzionalità imposti dal GDPR.
Le raccomandazioni delineano un orientamento preciso: quando l’acquisto può essere effettuato senza la creazione di un account permanente, la possibilità di procedere come “ospite” dovrebbe essere presentata come opzione predefinita.
L’account rimane possibile, ma deve essere collocato sul piano della libera scelta dell’utente e non quale condizione per accedere al servizio.
Questa impostazione, se recepita dalle autorità nazionali, potrebbe (e dovrebbe) assumere rilevanza negli standard di progettazione dei flussi di e-commerce, riequilibrando le dinamiche tra esigenze commerciali e diritti delle persone.
Cosa cambia per imprese e utenti
Le indicazioni dell’EDPB costringono in ogni caso gli operatori dell’e-commerce a ripensare/rivalutare l’architettura dei propri servizi.
La registrazione obbligatoria, infatti, non rappresenta un’opzione neutrale: richiede una valutazione documentata della sua necessità e, nella maggior parte dei casi, non potrà essere giustificata sulla base dell’articolo 6(1)(b).
Ciò implica un adeguamento dei flussi di checkout, una revisione delle informative privacy e un rafforzamento dei sistemi di design orientati al principio di minimizzazione. Le imprese sono chiamate pertanto a dimostrare in modo trasparente perché un account sarebbe necessario e quali dati aggiuntivi verrebbero trattati; se non sono in grado di farlo, devono prevedere un percorso alternativo per chi desidera acquistare senza registrarsi.
Per gli utenti questo passaggio rappresenta un ampliamento della loro capacità di scelta. Il guest checkout deve essere inteso, secondo l’impostazione dell’EDPB, il modello più vicino ai principi del GDPR.
La transazione occasionale deve essere un atto circoscritto nel tempo e nei dati trattati, senza che la persona sia costretta a creare e mantenere un profilo che non utilizzerà.
L’effetto complessivo potrebbe essere duplice: una maggiore fiducia degli utenti nei processi di acquisto e una riduzione degli incidenti di sicurezza legati alla gestione di account inattivi.
In parallelo, l’adozione di modelli orientati alla privacy potrebbe diventare un fattore competitivo, soprattutto in un mercato in cui, da parte degli utenti, la sensibilità verso la protezione dei dati sta crescendo e in cui le autorità europee stanno cercando di rafforzare il quadro di enforcement.
Perché spingere sull’account non basta più
Dietro la scelta di imporre la creazione dell’account non ci sono solo ragioni di comodità operativa. Per molte aziende, infatti, l’account rappresenta un asset strategico: consente di raccogliere dati in modo strutturato, segmentare la clientela, ottenere consensi di marketing più difficili da raccogliere nel checkout come ospite e sviluppare programmi di fidelizzazione basati su comportamenti osservabili nel tempo.
In altre parole, il profilo utente è la porta d’ingresso a una relazione commerciale prolungata, fatta di comunicazioni personalizzate, offerte mirate e meccanismi di retargeting che richiedono un’identità digitale continua. È comprensibile, quindi, che molte piattaforme abbiano trasformato la registrazione in un passaggio quasi automatico, spesso senza chiedersi se fosse proporzionato ai sensi del GDPR.
Il problema è che questo approccio, oggi, espone le imprese a un duplice rischio: da un lato l’incapacità di giustificare la necessità dell’account, come chiarito dall’EDPB nelle sue Recommendations; dall’altro la perdita di una parte significativa degli utenti, che abbandonano l’acquisto quando percepiscono la registrazione come un ostacolo o un’intrusione.
Il guest checkout, infatti, riduce la frizione e aumenta le conversioni, soprattutto nei settori in cui l’acquisto è rapido e non richiede una relazione di lungo termine. Costringere l’utente alla creazione di un account significa spesso sacrificare una quota immediata di vendite in cambio di un potenziale valore futuro incerto, che deve essere ora ribilanciato.
Per superare questo conflitto, le aziende possono adottare un approccio più maturo e coerente con il quadro normativo, sostituendo l’obbligo con un modello di “invito alla registrazione” fondato su un rapporto di reciprocità.
Anziché essere costretto, l’utente potrebbe essere motivato a creare un account perché percepisce un vantaggio tangibile: accesso rapido al tracciamento della spedizione grazie ai dati precompilati, accesso anticipato a nuovi prodotti, programmi di reward calibrati sull’esperienza reale, opportunità di ricevere servizi esclusivi o garanzie estese.
L’idea è trasformare il tempo speso per la registrazione in una scelta utile e non in un sacrificio imposto, rispettando i principi di liceità del trattamento e costruendo una fiducia che si traduce in fedeltà commerciale.
Una parte cruciale di questa strategia riguarda l’autenticazione. L’ennesima password rappresenta uno dei principali deterrenti alla creazione di un account e aumenta i rischi connessi alla sicurezza.
Le aziende possono ridurre questa frizione adottando sistemi di login passwordless basati su link temporanei via email, autenticazione biometrica sugli smartphone, passkey interoperabili o sistemi di single sign-on che evitano la moltiplicazione di credenziali.
Questo approccio, oltre a migliorare l’esperienza utente, si integra con il percorso europeo verso identità digitali più sicure e con il principio di minimizzazione del trattamento dati, poiché elimina la necessità di archiviare informazioni sensibili come le password.
Nel medio periodo, inoltre, l’arrivo dell’European Digital Identity Wallet potrebbe offrire un modello di autenticazione ancora più semplice e selettivo, rendendo la gestione degli account sia più sicura sia più trasparente.
In questo modo la registrazione potrebbe diventare un’opportunità condivisa: l’azienda ottiene un rapporto più solido e consapevole con l’utente, mentre quest’ultimo mantiene controllo e libertà di scelta, ricevendo benefici concreti invece di essere spinto verso un percorso obbligato.
Uno sguardo critico: ambiguità aperte e sfide applicative
Nonostante la chiarezza del documento, restano aperti alcuni nodi interpretativi che dovranno essere affrontati nella fase di consultazione e nei futuri interventi delle autorità nazionali. Le raccomandazioni indicano un orientamento preciso ma lasciando margini di discrezionalità in contesti particolari.
Esistono infatti servizi dove l’account può essere considerato realmente parte integrante del contratto, come gli abbonamenti ricorrenti, i servizi digitali personalizzati o gli ecosistemi chiusi che richiedono autenticazioni persistenti. In questi casi l’obbligo potrebbe rimanere legittimo, purché adeguatamente motivato.
Con riferimento all’impatto organizzativo sulle imprese, la revisione dei flussi di checkout, delle informative e delle basi giuridiche richiede investimenti e una pianificazione attenta, in quanto si tratta di una modifica strutturale che incide sulla strategia di acquisizione e gestione dei clienti.
Questo passaggio potrebbe incontrare resistenze, soprattutto nei settori che hanno fatto dell’account la leva principale per iniziative di marketing o per la raccolta di dati utili a sviluppare prodotti e servizi. L’EDPB, tuttavia, ribadisce (ed evidentemente serve farlo) che la conformità normativa non è negoziabile e che gli interessi commerciali non possono prevalere sui diritti fondamentali delle persone.
Infine, resta da capire come queste raccomandazioni verranno applicate nei diversi Stati membri e in che misura si tradurranno in orientamenti operativi per gli operatori. La loro implementazione richiederà coordinamento, chiarezza e un’azione coerente da parte delle autorità di controllo.
Serviva davvero l’EDPB per dirci che il GDPR aveva ragione?
L’intervento dell’EDPB, a uno sguardo attento, si presta a una lettura che va oltre il tema tecnico della base giuridica. Il GDPR non è nuovo e i suoi principi sono chiari fin dal 2018: minimizzazione, necessità, limitazione delle finalità, proporzionalità. È difficile sostenere che tali principi lasciassero spazio a una raccolta massiva di dati per una semplice vendita “una tantum”.
In teoria, dunque, le aziende avrebbero già dovuto strutturare da tempo i loro flussi di checkout in modo da evitare trattamenti eccedenti, e la questione dell’account obbligatorio non avrebbe dovuto richiedere ulteriori chiarimenti.
Eppure, il fatto stesso che l’EDPB abbia ritenuto opportuno pubblicare delle raccomandazioni ad hoc suggerisce che, nella pratica, questa ovvietà non fosse affatto tale.
La distanza tra il quadro normativo e il comportamento degli operatori emerge in tutta la sua evidenza. Se l’EDPB ha sentito la necessità di ribadire che l’articolo 6(1)(b) non può diventare la giustificazione universale per qualsiasi trattamento dati, significa che per anni esso è stato utilizzato in modo estensivo, talvolta disinvolto, quasi fosse un lasciapassare per trasformare il cliente occasionale in un soggetto costantemente monitorabile.
La provocazione, dunque, non riguarda tanto l’intervento in sé, quanto ciò che esso rivela: in Europa, anche in presenza di un quadro normativo avanzato, alcune prassi digitali tendono a stratificarsi fino a diventare consuetudini, a prescindere dalla loro effettiva conformità.
Il documento dell’EDPB rompe questa inerzia e, nel farlo, introduce una domanda inevitabile: è possibile che la cultura della protezione dei dati non sia ancora pienamente interiorizzata dalle imprese, nonostante sette anni di applicazione del GDPR? Anche se la risposta non è esplicitata nel testo, il suo sottotesto sembra chiaro.
L’intervento nasce proprio perché la sopravvivenza di queste pratiche dimostra che ciò che dovrebbe essere ovvio non sempre lo diventa nella realtà di mercato.
La funzione delle raccomandazioni, allora, è culturale, non tanto interpretativa. Serve cioè a rimettere al centro la necessità di progettare sistemi e servizi secondo principi che avrebbero già dovuto guidare le scelte delle imprese, ma che in molti casi sono stati percepiti come elementi accessori rispetto alle logiche puramente commerciali ed immediate (più che di lungo respiro).
Oltre l’accumulo dei dati
La possibilità per gli utenti di acquistare come ospiti è un elemento essenziale per garantire un equilibrio corretto tra esigenze commerciali e tutela dei diritti fondamentali.
In un momento in cui l’Europa accelera sul fronte dell’identità digitale e della costruzione di un ecosistema più sicuro e interoperabile, le indicazioni dell’EDPB rappresentano un’opportunità per le imprese di riallineare i propri modelli operativi ai principi del GDPR e per gli utenti di recuperare controllo, semplicità e fiducia nei processi di acquisto.
La creazione dell’account deve rappresentare una scelta consapevole e, soprattutto, win-win per utenti e aziende, senza che queste ultime ricorrano alla logica, ormai superata, dell’accumulo indiscriminato di informazioni personali, con i rischi connessi anche a livello di sicurezza.
Se adeguatamente recepite, queste raccomandazioni potrebbero inaugurare una stagione dell’e-commerce europeo più sobria nel trattamento dei dati, più coerente con le aspettative dei consumatori e più capace di competere grazie alla qualità dell’esperienza offerta.
