Allora, ho trovato la soluzione; non setta il cookie automaticamente e francamente non capisco il perché.

Ho risolto mettendo un bel

@setcookie('PHPSESSID', $PHPSESSID, NULL, '/');

all'inizio del codice per la login.

Fatto sta che questa disavventura mi ha fatto notare che se l'utente non può salvare nei cookie, e se non è abilitato trans-sid (come sul server del cliente), deve essere previsto un metodo per appendere il PHPSESSID agli url.