Scanner cookie: come scoprire cosa il vostro sito traccia davvero

«Sappiamo quali cookie impostiamo.» Sento spesso questa affermazione — e quasi mai è vera. A ogni secondo audit cookie scopro strumenti di tracking di cui né l'agenzia web né l'amministratore sapevano. Ecco perché l'inventario manuale fallisce quasi sempre, come funziona uno scanner automatico e quando quale approccio si giustifica.

Perché l'inventario manuale fallisce quasi sempre

La maggior parte dei gestori di siti pensa: «Usiamo Google Analytics e un servizio newsletter. Non gira altro.» In realtà:

• Strumenti embed (YouTube, Vimeo, Calendly) impostano i propri cookie spesso dimenticati
• Provider CDN (Cloudflare, jsDelivr) possono impostare cookie che non appartengono al sito stesso
• Plugin CMS (specialmente WordPress) portano spesso i propri cookie che l'admin non conosce
• Caricamento dinamico di tag via Tag Manager può caricare strumenti configurati nel backend di cui il team frontend non è consapevole
• Script di terzi (live chat, heatmap, strumenti A/B test) portano spesso più cookie per strumento

Realtà: chi pensa di avere 5 cookie ne ha di solito 15. Chi ne stima 15 ne ha 30.

Come funziona uno scanner automatico

Uno scanner cookie moderno lavora in più passi:

1. Avvio browser headless (tipicamente Chromium via Playwright o Puppeteer)
2. Visita sito come un visitatore normale
3. Lettura cookie dopo il primo caricamento di pagina
4. Simulazione interazioni — chiudere banner cookie, cliccare link, riempire moduli
5. Rilettura cookie — molti cookie vengono impostati solo dopo interazione
6. Visita sottopagine — percorrere sitemap o link interni
7. Acquisizione local storage e session storage — anche questi sono meccanismi di tracking
8. Identificazione pixel di tracking — immagini che inviano richieste HTTP a server di terzi
9. Creazione report — lista cookie con fornitore, finalità (se nota dalla libreria), durata di conservazione

Lo scanner Aiara va ancora più in profondità: identifica script di tracking caricati dinamicamente, controlla esportazioni di dati rilevanti per la LPD e confronta i risultati con un database cookie per classificare automaticamente (necessario / statistica / marketing).

Inventario rapido manuale con DevTools

Se volete fare un inventario rapido del vostro sito:

1. Aprire modalità incognito in Chrome (impedisce che vecchi cookie falsino il quadro)
2. Aprire DevTools con F12 o Cmd+Option+I
3. Tab Application → Cookies → Il vostro dominio
4. Guardate i cookie first-party — impostati dal vostro sito
5. Passate ai domini di terzi nella lista cookie — Google, Meta, ecc.
6. Tab Network → filtro «Doc» e «Script» → guardate quali script di terzi vengono caricati
7. Local storage e session storage anche da controllare nel tab Application

Questo inventario trova circa il 60-70 % di tutti i cookie di un sito. Il resto si scopre solo con uno scan automatico che percorre sottopagine, login e moduli.

Cosa fa il tracking senza cookie

Una trappola che molti trascurano: non ogni tracking ha bisogno di un cookie. Meccanismi di tracking senza cookie frequenti:

• Local storage — come un cookie ma tecnicamente diverso, spesso non in liste cookie
• Session storage — temporaneo, ma trattato come dati personali secondo alcune definizioni LPD
• Pixel di tracking — piccole immagini che inviano una richiesta HTTP con parametri di tracking a server di terzi
• Tracking lato server — dati inviati direttamente dal server a Google/Meta, il browser non vede nulla
• Fingerprinting — identificazione via proprietà del browser (font, plugin, dimensione schermo) senza cookie

Un buon scanner cattura almeno le prime tre categorie. Tracking lato server e fingerprinting sono riconoscibili solo tramite revisione del codice.

I cookie più frequenti sui siti svizzeri — e il loro scopo

Una breve panoramica dei top 15:

Cookie	Fornitore	Scopo	Categoria
_ga	Google Analytics	Identificazione utente	Statistica
_gid	Google Analytics	ID sessione	Statistica
_gcl_au	Google Ads	Tracking conversioni	Marketing
_fbp	Meta Pixel	Tracking conversioni	Marketing
__hstc	HubSpot	Tracking utente	Marketing
hubspotutk	HubSpot	Consenso cookie	Marketing
hjSession*	Hotjar	Registrazione sessione	Statistica
YSC	YouTube Embed	Statistica video	Statistica
VISITOR_INFO1_LIVE	YouTube Embed	Preferenza utente	Statistica
__cf_bm	Cloudflare	Protezione bot	Necessario
PHPSESSID	Server web	Sessione	Necessario
_csrf	Framework web	Protezione CSRF	Necessario
consent_v1	Banner Aiara	Memorizzazione consenso	Necessario
_calendly_session	Calendly	Prenotazione appuntamenti	Funzionale
__stripe_mid	Stripe	Sicurezza pagamenti	Necessario

Questi 15 cookie coprono circa l'80 % di tutti i siti PMI svizzeri. Il resto sono strumenti settoriali.

Scanner Aiara — cosa fa concretamente

Lo scanner Aiara visita un sito con Chromium headless, clicca attraverso fino a 600 sottopagine, simula varie interazioni utente e produce una lista cookie con:

• Nome cookie e fornitore
• Categoria presumibile (basata sul database cookie)
• Durata di conservazione (dagli HTTP headers)
• First-party vs. third-party
• Paese di esportazione dati (basato sul database fornitori)
• Indicazioni di conformità LPD (es. «cookie marketing caricato senza consenso»)

I risultati vengono direttamente trasferiti nel banner cookie e nell'informativa privacy. In caso di cambiamenti — es. nuova integrazione di strumento da parte del team marketing — lo scanner si segnala automaticamente.

Chi ha bisogno di uno scanner automatico?

Come regola pratica:

• Siti puro biglietto da visita (statico, niente marketing) → controllo DevTools manuale basta
• PMI con stack marketing standard (Google Analytics, newsletter) → scan trimestrale
• E-commerce, stack marketing multi-strumento → scan continuo raccomandato
• Agenzie web con molti clienti → soluzione automatizzata indispensabile, altrimenti non scalabile

Lo sforzo per uno scan mensile pulito è significativamente minore di quello di una singola indagine IFPDT — e la probabilità di trovare un pixel di tracking nascosto è alta.