Scansione e audit dei cookie: sapere cosa imposta il tuo sito web
Non puoi rispettare le normative sui cookie se non sai quali cookie imposta il tuo sito web. Sembra ovvio, eppure è il punto di fallimento più comune in assoluto nella conformità in materia di cookie. I siti web evolvono continuamente — vengono installati nuovi plugin, aggiunti tag di marketing, aggiornati script di terze parti — e ogni modifica può introdurre nuovi cookie. Un audit dei cookie non è un'attività una tantum. È un processo continuo che deve stare al passo con l'evoluzione del tuo sito web.
Perché la scansione dei cookie è importante
Ogni obbligo di conformità in materia di cookie dipende dalla disponibilità di un inventario accurato e completo dei tuoi cookie. Senza di esso:
- Il tuo banner dei cookie è incompleto. Se il tuo banner elenca quattro categorie di cookie ma il tuo sito imposta in realtà cookie appartenenti a una quinta categoria, gli utenti non possono fornire un consenso informato. Il loro consenso non è valido ai sensi del GDPR.
- La tua cookie policy è inaccurata. Le Autorità Garanti per la protezione dei dati si aspettano che la tua cookie policy elenchi ogni cookie con nome, finalità, tipo e durata. Una policy incompleta o obsoleta è una carenza di conformità che i Garanti cercano attivamente durante gli audit.
- Il tuo meccanismo di consenso potrebbe non bloccare tutti i cookie. Se uno script aggiunto di recente imposta cookie non inclusi nella configurazione della gestione del consenso, quei cookie si attivano senza consenso — una diretta violazione dell'articolo 5, paragrafo 3, della Direttiva ePrivacy.
- Non puoi rispondere alle richieste degli utenti. Ai sensi del GDPR, gli utenti hanno il diritto di sapere quali dati raccogli su di loro. Se non sai quali cookie imposta il tuo sito, non puoi fornire risposte accurate alle richieste di accesso degli interessati.
Cosa rivela una scansione dei cookie
Una scansione approfondita dei cookie identifica:
- Nomi dei cookie: l'identificatore esatto di ciascun cookie (ad esempio
_ga,_fbp,JSESSIONID). - Origine: se il cookie è di prima parte (impostato dal tuo dominio) o di terza parte (impostato da un dominio esterno).
- Tipo: cookie di sessione (eliminato alla chiusura del browser) o cookie persistente (rimane per una durata specificata).
- Durata: per quanto tempo il cookie persiste prima di scadere (ad esempio 30 minuti, 1 anno, 2 anni).
- Finalità: cosa fa il cookie — gestione della sessione, analisi, pubblicità, personalizzazione o finalità funzionali.
- Categoria: la categoria di conformità a cui appartiene il cookie — strettamente necessari, funzionali, analisi/prestazioni o marketing/pubblicità.
- Fornitore terzo: se il cookie è impostato da una terza parte, a quale servizio appartiene (Google Analytics, Facebook, HubSpot, Hotjar, ecc.).
- Dati raccolti: quali informazioni il cookie memorizza o consente di raccogliere.
Scansione manuale dei cookie con i DevTools del browser
Il metodo più elementare di scansione dei cookie utilizza gli strumenti per sviluppatori integrati in ogni browser moderno. Sebbene la scansione manuale abbia limiti significativi, è utile per controlli a campione e per capire come funzionano i cookie sul tuo sito.
Passo dopo passo: audit manuale dei cookie in Chrome
- Apri una finestra in incognito/privata. Questo garantisce di partire da una situazione pulita — nessun cookie esistente da visite precedenti.
- Apri i DevTools (premi F12 oppure fai clic con il tasto destro e seleziona "Ispeziona").
- Vai alla scheda Application (in Chrome) o alla scheda Storage (in Firefox).
- Espandi la sezione "Cookies" nella barra laterale sinistra. Vedrai un elenco di domini.
- Visita il tuo sito web senza interagire con il banner dei cookie. Prendi nota di quali cookie vengono impostati immediatamente — questi sono i cookie impostati prima del consenso, che dovrebbero essere solo cookie strettamente necessari.
- Accetta tutti i cookie sul tuo banner dei cookie. Aggiorna la scheda Application/Storage e prendi nota dei nuovi cookie che compaiono.
- Naviga tra le pagine principali del tuo sito web (homepage, pagine prodotto, checkout, modulo di contatto, blog). Alcuni cookie vengono impostati solo su pagine specifiche o dopo interazioni specifiche.
- Documenta ogni cookie: per ciascun cookie che trovi, registra nome, dominio, percorso, data di scadenza, dimensione e se è HTTP-only o secure.
- Controlla la scheda Network per individuare ulteriori tracciamenti. Alcune tecnologie di tracciamento utilizzano pixel, beacon o chiamate API anziché i cookie tradizionali. La scheda Network rivela tutte le richieste in uscita verso domini di terze parti.
Limiti della scansione manuale
La scansione manuale è preziosa per l'apprendimento e i controlli a campione, ma presenta seri limiti a fini di conformità:
- Copertura incompleta. Puoi controllare solo le pagine che visiti manualmente. Un sito web di grandi dimensioni con centinaia di pagine può impostare cookie diversi su pagine diverse. La scansione manuale non può praticamente coprirle tutte.
- Nessuna categorizzazione. I DevTools mostrano i dati grezzi dei cookie ma non li categorizzano per finalità o categoria di conformità. Devi ricercare ogni cookie singolarmente.
- Solo un'istantanea nel tempo. La scansione manuale ti fornisce una fotografia del momento. Non rileva i nuovi cookie aggiunti dopo il tuo audit.
- Nessuna verifica del blocco degli script. La scansione manuale non può verificare facilmente che la tua piattaforma di gestione del consenso stia bloccando correttamente gli script prima del consenso.
- Dispendiosa in termini di tempo. Per un sito con anche solo 20 pagine, controllare manualmente ogni pagina e documentare ogni cookie richiede ore.
Scansione automatizzata dei cookie
Gli strumenti di scansione automatizzata dei cookie superano i limiti della scansione manuale eseguendo il crawling dell'intero sito web, identificando tutti i cookie e categorizzandoli in modo sistematico. Un buon strumento di scansione automatizzata offre:
- Crawling completo: lo scanner visita ogni pagina del tuo sito (o un sottoinsieme definito), incluse le pagine accessibili solo tramite navigazione o ricerca.
- Prima e dopo il consenso: lo scanner verifica quali cookie vengono impostati prima che sia dato il consenso, quali compaiono dopo il consenso e se le categorie rifiutate sono correttamente bloccate.
- Categorizzazione automatica: i cookie noti (come
_gadi Google Analytics o_fbpdi Facebook) vengono categorizzati automaticamente sulla base di database aggiornati sulle finalità dei cookie. - Identificazione delle terze parti: tutti i domini di terze parti che impostano cookie vengono identificati e documentati.
- Scansione programmata: le scansioni vengono eseguite automaticamente secondo una pianificazione (settimanale, dopo i deployment) per intercettare i nuovi cookie non appena compaiono.
- Rilevamento delle modifiche: lo scanner ti avvisa quando compaiono nuovi cookie o quando i cookie esistenti cambiano, così puoi aggiornare il tuo meccanismo di consenso e la tua cookie policy.
- Report di conformità: i risultati sono formattati in modo da supportare la tua documentazione di conformità.
Cosa cercare in uno strumento di scansione dei cookie
Nel valutare le soluzioni di scansione automatizzata dei cookie, considera:
- Rendering JavaScript: molti cookie vengono impostati da codice JavaScript che viene eseguito dopo il caricamento della pagina. Lo scanner deve eseguire JavaScript (utilizzando un vero motore di browser) per rilevare questi cookie. I semplici crawler HTTP che non eseguono il rendering di JavaScript non rileveranno la maggior parte dei cookie di terze parti.
- Profondità del crawling: lo scanner dovrebbe seguire i link interni ed eseguire il crawling dell'intero sito, non solo della homepage. I cookie impostati da video incorporati, moduli, widget di chat o processori di pagamento su pagine specifiche verranno persi se si esegue la scansione solo della homepage.
- Simulazione della prima visita: lo scanner dovrebbe simulare un visitatore per la prima volta (nessun cookie esistente, nessun consenso dato) per verificare che nessun cookie non essenziale venga impostato prima del consenso.
- Database dei cookie: un database aggiornato di cookie noti con le relative finalità e categorie riduce drasticamente lo sforzo manuale della classificazione.
- Reportistica: report chiari ed esportabili che possono essere condivisi con i team legali, di marketing e di sviluppo.
- Pianificazione e avvisi: scansione automatica secondo una pianificazione configurabile con notifiche quando vengono rilevati nuovi cookie.
Il processo di scansione dei cookie
Una scansione approfondita dei cookie segue cinque passaggi, sia che venga eseguita manualmente sia con strumenti automatizzati:
Passaggio 1: eseguire il crawling di tutte le pagine
Inizia costruendo una mappa completa del tuo sito web. Questa include tutte le pagine pubbliche, le pagine autenticate (se applicabile), le landing page, le pagine di ringraziamento, le pagine di errore e qualsiasi pagina a cui un visitatore potrebbe accedere. Non limitare la scansione alla homepage — i cookie vengono frequentemente impostati da script di terze parti che si caricano solo su pagine specifiche (ad esempio un video di YouTube incorporato in un articolo del blog, un processore di pagamento nella pagina di checkout o un widget di chat che compare solo nelle pagine di assistenza).
Passaggio 2: identificare tutti i cookie
Per ogni pagina, registra ogni cookie che viene impostato. Questo include sia i cookie HTTP (visibili nell'header Set-Cookie e nella memoria dei cookie del browser) sia i meccanismi di archiviazione lato client (localStorage, sessionStorage, IndexedDB) che possono funzionare come tecnologie di tracciamento anche se tecnicamente non sono cookie.
Passaggio 3: determinare l'origine dei cookie
Per ogni cookie, identifica se è di prima parte (impostato dal tuo dominio) o di terza parte (impostato da un dominio esterno). I cookie di terze parti sono particolarmente importanti per la conformità perché in genere comportano la condivisione di dati con organizzazioni esterne, cosa che richiede la divulgazione nella tua cookie policy e, in molti casi, un accordo sul trattamento dei dati.
Passaggio 4: classificare i cookie per categoria
Assegna ogni cookie a una categoria di conformità:
- Strettamente necessari: indispensabili per il funzionamento del sito web. Non possono essere disabilitati dall'utente. Esempi: cookie di sessione, token CSRF, cookie di bilanciamento del carico, cookie delle preferenze di consenso ai cookie.
- Funzionali: abilitano funzionalità avanzate e personalizzazione. Esempi: preferenze linguistiche, selezione della regione, articoli visualizzati di recente (quando non utilizzati per la pubblicità).
- Analisi/Prestazioni: raccolgono informazioni su come i visitatori utilizzano il sito web. Esempi: cookie di Google Analytics, Hotjar, Matomo.
- Marketing/Pubblicità: tracciano i visitatori attraverso i siti web a scopo pubblicitario. Esempi: Facebook Pixel, cookie di Google Ads, cookie di retargeting, cookie di tracciamento affiliate.
Passaggio 5: documentare finalità, durata e tipo
Per ogni cookie, documenta la sua finalità in un linguaggio semplice comprensibile a una persona non tecnica, la sua durata (di sessione o persistente e, se persistente, per quanto tempo) e il suo tipo (cookie HTTP, localStorage, ecc.). Questa documentazione costituisce la base della tua cookie policy e delle informazioni fornite nel tuo banner dei cookie.
Monitoraggio continuo
Una scansione dei cookie è valida solo nel momento in cui viene eseguita. Il tuo sito web non è statico — evolve a ogni deployment, aggiornamento di plugin e campagna di marketing. Il monitoraggio continuo è essenziale perché:
- I nuovi script introducono nuovi cookie. Quando uno sviluppatore aggiunge un nuovo strumento di analisi, un team di marketing installa un nuovo pixel di tracciamento o un plugin viene aggiornato, sul tuo sito possono comparire nuovi cookie senza che nessuno abbia esplicitamente deciso di aggiungerli.
- Gli script di terze parti cambiano. Anche se non modifichi il tuo sito web, i servizi di terze parti che utilizzi possono aggiornare i loro script e introdurre nuovi cookie. Un aggiornamento di Google Analytics, una modifica a un widget dei social media o un aggiornamento della configurazione di una CDN possono tutti influire sui cookie del tuo sito.
- La conformità è continua. I Garanti si aspettano che la tua cookie policy e il tuo meccanismo di consenso riflettano lo stato attuale del tuo sito web. Una policy che era accurata sei mesi fa ma che non include i cookie aggiunti nel frattempo oggi non è conforme.
La best practice è eseguire scansioni automatizzate dopo ogni deployment e come minimo su base mensile. Configura avvisi per i nuovi cookie in modo che il tuo team possa valutarli, categorizzarli e aggiungerli al tuo meccanismo di consenso prima che diventino un problema di conformità.
La scansione dei cookie e la tua cookie policy
La tua cookie policy e i risultati della scansione dei cookie devono restare allineati. Ogni cookie identificato in una scansione dovrebbe essere documentato nella tua policy, e ogni cookie elencato nella tua policy dovrebbe essere effettivamente presente sul tuo sito. Una discrepanza in entrambe le direzioni è un problema:
- Cookie presenti sul sito ma non nella policy: questo significa che gli utenti non sono informati su tutto il tracciamento presente sul tuo sito. Il loro consenso, anche se dato, potrebbe non coprire i cookie non divulgati.
- Cookie nella policy ma non sul sito: pur essendo meno grave, elencare cookie che non esistono crea confusione e mina la fiducia nell'accuratezza della tua documentazione.
L'approccio più efficiente è integrare il tuo strumento di scansione con la tua cookie policy, in modo che la policy venga aggiornata automaticamente quando vengono rilevati nuovi cookie. Questo elimina il passaggio manuale di aggiornamento della policy dopo ogni scansione e riduce il rischio che i due elementi si disallineino.
Come Passiro gestisce la scansione dei cookie
Lo scanner di Passiro utilizza un motore di browser headless per visitare ogni pagina del tuo sito web, eseguendo JavaScript esattamente come farebbe il browser di un visitatore reale. Questo garantisce che i cookie impostati da script caricati dinamicamente, contenuti incorporati e framework di applicazioni a pagina singola vengano tutti rilevati. Lo scanner viene eseguito prima e dopo un consenso simulato per verificare che la tua gestione del consenso funzioni correttamente — ovvero che i cookie non essenziali siano realmente bloccati finché il consenso non viene dato.
I risultati della scansione vengono categorizzati automaticamente utilizzando un database di cookie noti continuamente aggiornato, con la possibilità di classificare o riclassificare manualmente qualsiasi cookie. Le scansioni programmate vengono eseguite secondo modalità configurabili e ricevi avvisi quando compaiono nuovi cookie sul tuo sito, così puoi intervenire prima che diventino un rischio per la conformità.
Con quale frequenza eseguire la scansione?
La giusta frequenza di scansione dipende dalla frequenza con cui il tuo sito web cambia:
- Dopo ogni deployment: qualsiasi modifica al codice può potenzialmente introdurre nuovi cookie. Integra la scansione dei cookie nella tua pipeline CI/CD oppure esegui una scansione dopo ogni rilascio.
- Dopo l'aggiunta di servizi di terze parti: ogni volta che aggiungi un nuovo strumento di analisi, una piattaforma di marketing, un widget di chat, un processore di pagamento o qualsiasi script di terze parti, esegui immediatamente una scansione.
- Come minimo mensilmente: anche se non apporti modifiche, gli script di terze parti sul tuo sito possono aggiornarsi e introdurre nuovi cookie. Una scansione mensile intercetta questi cambiamenti.
- Dopo gli aggiornamenti della CMP: se aggiorni la tua piattaforma di gestione del consenso o modifichi le tue categorie di cookie, esegui una scansione per verificare che le modifiche funzionino come previsto.
- Revisione trimestrale: oltre alla scansione automatizzata, esegui una revisione manuale trimestrale del tuo inventario dei cookie per verificare che le categorizzazioni siano ancora accurate, che i fornitori terzi siano ancora necessari e che la tua cookie policy rifletta la realtà.
Le organizzazioni che trattano la scansione dei cookie come manutenzione ordinaria anziché come un audit periodico sono quelle che mantengono una conformità continua — ed evitano la spiacevole sorpresa di scoprire cookie di tracciamento non documentati durante un'indagine di un Garante.
Il tuo sito web è conforme alle normative sui cookie?
Scansiona il tuo sito web gratuitamente e trova tutti i cookie in pochi minuti.
Scansiona i tuoi cookie gratis