Guida alla verifica di Cookiebot per le agenzie (2026)

TL;DR -Cookiebot è una delle piattaforme di gestione del consenso più complete sul mercato, con uno scanner mensile integrato, ampie integrazioni CMS e un supporto IAB TCF 2.3 affidabile. Un'autoscansione da qualsiasi CMP è un utile inventario operativo, ma non è la stessa cosa di una prova indipendente fornita da un verificatore esterno. Questa guida spiega come verificare un'installazione di Cookiebot nella pratica - e quando l'autoscansione da sola è sufficiente.

Checklist di verifica Cookiebot (versione sintetica)

Verificare se il caricatore GTM appare sopra lo snippet Cookiebot: tale ordine significa che GTM vince la gara al primo rendering.
Verificare che lo stato predefinito di Consent Mode v2 sia denied per i quattro parametri: analytics_storage, ad_storage, ad_user_data e ad_personalization.
In un profilo browser pulito con gli strumenti di sviluppo aperti, acquisire ogni richiesta di terze parti che viene generata prima di qualsiasi clic sul banner.
Clicca su Rifiuta tutto, ricarica la pagina e cattura nuovamente la rete: dopo il rifiuto non dovrebbe apparire nulla di non essenziale.
Confronta il comportamento della rete dopo il rifiuto con la dichiarazione dei cookie Cookiebot; una discrepanza tra i due è un difetto comune.
Esporta un file .har con i timestamp come traccia di audit duratura: una prova più solida rispetto a uno screenshot della dashboard.

Di seguito è riportata la versione completa con gli elementi da verificare in ogni fase.

Cosa fa bene Cookiebot

Cookiebot

originariamente creato da Cybot e ora parte di Usercentrics a seguito della fusione del 2021 tra Usercentrics e Cybot
è uno dei CMP più diffusi nel segmento delle PMI dell'UE, e ci sono buone ragioni per questo. Lo scanner mensile di Cookiebot svolge un lavoro autentico: esegue il crawling del sito dall'infrastruttura di Cookiebot , identifica cookie e tracker confrontandoli con un database interno e produce una dichiarazione classificata automaticamente. Per un sito WordPress ,Shopify o Wix con un tipico stack di marketing, l'installazione predefinita è solitamente accettabile con poche modifiche di configurazione.

La superficie di integrazione è davvero ampia.Cookiebot supporta Google Consent Mode v2 ,Microsoft UET Consent Mode , l'IAB Transparency and Consent Framework 2.3 e oltre 47 lingue per i banner. La condivisione del consenso tra domini nei livelli superiori gestisce in modo ragionevole gli operatori con più proprietà. Il livello gratuito - 0 € al mese per un dominio con un massimo di 50 sottopagine - è un punto di ingresso funzionante per un singolo sito di piccole dimensioni, mentre i livelli a pagamento partono da Premium Lite (7 € al mese quando è selezionato EUR, per un singolo dominio con meno di 50 sottopagine), che aggiunge funzionalità premium come il branding, il geotargeting, il supporto per banner multilingue e la scansione automatizzata. In base alla modifica dei prezzi di Cookiebot di agosto 2025, gli account con meno di 4 domini vengono convertiti da Premium Small a Premium Medium (circa 30 € al mese in visualizzazione EUR), mentre Premium Lite resta disponibile per un singolo dominio con meno di 50 sottopagine - confermare rispetto alla pagina dei prezzi attiva per il proprio numero di domini.

Per un operatore la cui esigenza primaria è "mostrare un banner chiaro, registrare il consenso, bloccare i tag evidenti",Cookiebot fa il suo lavoro, e questo rappresenta un caso d'uso valido per il prodotto. Dove si complica la situazione è la domanda successiva: come si fa a sapere che funziona davvero nelle sessioni degli utenti reali?

Problemi comuni di implementazione di Cookiebot che le auto-scansioni potrebbero non rilevare

Qualsiasi CMP con auto-scansione viene eseguito da un'origine nota, con una cadenza prevedibile e un profilo browser deterministico. Lo script che si attiva quando il crawler di Cookiebot visita il tuo sito non è necessariamente lo stesso script che si attiva quando un utente reale visita il sito da un IP tedesco un martedì pomeriggio. Quattro modelli che vediamo ripetutamente sui siti protetti d Cookiebot e e che emergono negli audit degli utenti reali:

1. Condizioni di competizione tra Tag Manager e Consent Mode. Questo è il problema più frequente e si presenta in due forme correlate. (a) Lo snippet Google Tag Manager è hardcoded inline sopra il loader Cookiebot , quindi GTM si inizializza - e qualsiasi tag con il consenso predefinito impostato sugranted viene attivato - prima che l'auto-blocker abbia la possibilità di intervenire. (b)Consent Mode v2 è configurato con uno o più dei quattro parametri (analytics_storage ,ad_storage ,ad_user_data ,ad_personalization ) impostati di default su'granted' invece che su'denied' , il che produce lo stesso risultato senza il problema dell'ordine del loader. In entrambi i casi, l'errore si verifica prima che lo stato di consenso sia stato applicato in modo affidabile. La guida alla risoluzione dei problemi di Cookiebot è chiara sul meccanismo sottostante: lo script Cookiebot deve caricarsi prima delle risorse di impostazione dei cookie, e i tag in GTM devono essere configurati con trigger di consenso o resi sensibili al consenso. L'audit è quindi semplice: controllare l'ordine degli script, controllare le impostazioni predefinite di Consent Mode , quindi verificare la traccia di rete del primo caricamento.

2. Lacune nel markup dei contenuti incorporati e degli iframe.Cookiebot può bloccare gli iframe e i contenuti incorporati quando il blocco automatico o il markup manuale sono applicati correttamente. Il rischio si presenta quando un contenuto incorporato viene inserito dinamicamente, contrassegnato come da ignorare, caricato prima che Cookiebot sia stato inizializzato o non coperto dalla configurazione di blocco corrente.YouTube ,Vimeo ,Calendly , mappe, live chat e contenuti social incorporati dovrebbero quindi essere testati direttamente: rifiutare il consenso, ricaricare, aprire l'area di incorporamento e verificare che non vengano effettuate richieste non essenziali fino a quando l'utente non acconsente. Alcuni lettori incorporati possono avviare richieste YouTube o Google e impostare identificatori prima che il banner abbia alcun controllo, a meno che non siano protetti dal consenso o configurati in una modalità con privacy potenziata.

3. Script di marketing condizionali e attivati dal comportamento. Un registratore attivato dallo scorrimento, un widget di chat ritardato, un ramo di test A/B o un tag inserito dinamicamente potrebbero non essere rilevati da un percorso di scansione fisso. Trattali come obiettivi di verifica manuale: riproduci l'azione dell'utente, rifiuta il consenso, ricarica e verifica se il tag si attiva ancora.

4. Dichiarazioni sui cookie localizzate che non corrispondono.Cookiebot può generare dichiarazioni in diverse lingue, ma le agenzie dovrebbero comunque verificare che ogni versione linguistica live corrisponda all'inventario attuale dei tracker. Se la dichiarazione in inglese è aggiornata ma la versione tedesca elenca tracker rimossi - o ne tralascia di nuovi - la traccia delle prove non corrisponde più al comportamento del sito live.

Lista di controllo per l'audit passo dopo passo

Ogni passaggio è qualcosa che puoi fare in un browser; uno scanner esterno semplifica il lavoro manuale.

Apri il sito in un profilo browser pulito, con gli strumenti di sviluppo aperti e il filtro di rete impostato su "terze parti". Ricarica. Qualsiasi cosa che si attivi prima di cliccare su un pulsante del banner è un candidato. Questo singolo passaggio rileva più problemi di qualsiasi revisione delle politiche.
Controlla la posizione dello snippet GTM . Se il caricatore GTM si trova sopra il caricatore Cookiebot nel codice sorgente della pagina, il blocco automatico entra in competizione con il tag manager. Sposta per primo il caricatore di Cookiebot oppure elimina lo snippet inline GTM e caricalo tramite l'iniezione con consenso di Cookiebot .
Verifica lo stato predefinito di Consent Mode v2 . Nella pagina visualizzata, cercagtag('consent', 'default' . L'argomento dovrebbe impostare tutti e quattro i parametri -analytics_storage ,ad_storage ,ad_user_data ,ad_personalization

su'denied' . Se uno qualsiasi riporta'granted' , si tratta di una configurazione errata.

Fare clic su "Rifiuta". Ricaricare la pagina. Controllare la stessa cattura di rete. Un'installazione di Cookiebot configurata correttamente non dovrebbe mostrare tracker di terze parti nella rete post-rifiuto. Se Meta Pixel ,LinkedIn Insight o Google Analytics continuano ad attivarsi dopo il rifiuto, lo stato del consenso non viene propagato.
Verifica la persistenza del consenso tra le pagine. Clicca su "Rifiuta", passa a una seconda pagina. Il banner non dovrebbe riapparire. Se lo fa - il modello "consent_respawn " - l'ambito o la durata del cookie è errata, indipendentemente da ciò che riporta la dashboard.
Apri ogni elemento incorporato in iframe. Controlla cosa viene caricato al loro interno e verifica che ogni sorgente iframe sia "consent-aware" o sostituita con un wrapper "click-to-load".
Cambia la pagina in ciascuna delle tue lingue attive. Verifica che la dichiarazione dei cookie sia tradotta e che i tracker elencati corrispondano alla scansione attuale, non a quella dell'ultimo trimestre.
Esegui il test da un IP non UE. Alcune configurazioni di Cookiebot indirizzano il banner solo ai visitatori dell'UE. Se servi utenti in Svizzera, nel Regno Unito o in Brasile, verifica che il banner appaia come previsto per quelle aree geografiche.
Confronta la cattura di rete con la dichiarazione Cookiebot . Ogni servizio non essenziale che imposta cookie o dominio di tracciamento che si attiva prima del consenso dovrebbe apparire, classificato, nella dichiarazione. Lo scostamento tra il comportamento effettivo e i tracker dichiarati è un difetto comune.
Salva la cattura di rete come prova. Un file.har con timestamp è una traccia di audit duratura - una prova più solida rispetto a uno screenshot della dashboard.

Quando Cookiebot da solo è sufficiente

Non consigliamo di aggiungere un audit esterno a ogni implementazione di Cookiebot . Per il seguente profilo, lo scanner integrato di Cookiebot è sufficiente e un secondo strumento rappresenta un sovraccarico:

Un unico sito di piccole dimensioni, una lingua, un dominio.
Nessun Google Tag Manager , nessun Meta Pixel , nessun tag di marketing di terze parti. Solo Cookiebot e un'installazione di Google Analytics 4 tramite l'iniezione controllata di Cookiebot .
Nessun requisito di reporting per il cliente. Il proprietario del sito gestisce il sito autonomamente e si fida della propria configurazione.
Nessun profilo soggetto a maggiore scrutinio (traffico basso, contenuti B2C non sensibili, nessun reclamo in passato).

Per questo operatore, il livello gratuito di Cookiebot o Premium Lite è sufficiente e qualsiasi strumento aggiuntivo rappresenta un onere.

Quando aggiungere un audit indipendente

La necessità di una verifica esterna dipende da tre fattori:

Profilo dell'agenzia. Se gestite cinque o più siti di clienti su Cookiebot , la capacità di produrre una scansione mensile indipendente per ogni cliente - inclusa nel vostro report - è un servizio fatturabile. Lo scanner e il banner provengono dallo stesso fornitore, quindi le agenzie spesso aggiungono un livello di verifica separato quando hanno bisogno di prove da presentare ai clienti.

Complessità dei tag di marketing.GTM ,Meta Pixel ,Google Ads conversion,LinkedIn Insight ,TikTok Pixel , endpoint di tagging lato server - ogni tag aggiuntivo moltiplica l'area in cui un errore di impostazione predefinita può attivare i tracker prima del consenso. La probabilità che uno di essi sia configurato in modo errato in qualsiasi momento, in qualsiasi località, non è trascurabile.

Profilo di maggiore scrutinio. Per gli operatori che attirerebbero l'attenzione delle autorità di regolamentazione in caso di reclamo - editori ad alto traffico, media supportati dalla pubblicità, servizi finanziari, sanità - una traccia probatoria duratura è utile perché l'implementazione del consenso ai cookie è un tema ricorrente di scrutinio da parte delle DPAs. Un pacchetto di prove proveniente da una fonte non fornitrice è sostanzialmente diverso dallo screenshot della dashboard di un fornitore.

Pacchetti di prove per gli appalti. I clienti aziendali nei settori regolamentati spesso richiedono prove tecniche indipendenti come parte dell'onboarding dei fornitori. Un rapporto di scansione esterno risponde a questa richiesta in un modo che uno screenshot della dashboard di Cookiebot non fa.

Cookiebot vs. audit indipendente

Feature	Cookiebot Free + paid tiers based on domains/subpages	GDPR Privacy Monitor Free + paid plans
Cookie scanner (self-scan)	✓	✕
Banner UI generator	✓	✕
47+ banner languages	✓	✕
WordPress / Shopify / Wix plugins	✓	✕
IAB TCF 2.3 signaling	✓	✕
Cross-domain consent sharing	Domain Groups (paid tiers)	✕
Independent technical verification	✕	✓
Multi-CMP portfolio reports	✕	✓
Evidence pack for client deck / audit file	✕	✓
Free tier available	✓	✓

Cookiebot e GDPR Privacy Monitor sono prodotti diversi che soddisfano esigenze diverse:Cookiebot genera e gestisce la tua UX di consenso,GDPR Privacy Monitor verifica che il risultato si comporti correttamente in ambiente reale.

Risk score: 41 / 100

Un'installazione pulita di Cookiebot dovrebbe di solito rientrare nella fascia a basso rischio. Un punteggio intorno ai 40 indica in genere la presenza di un problema pratico: ad esempio, un tracker che si attiva prima del consenso, un problema di persistenza post-rifiuto o un problema di configurazione del banner che necessita di revisione.

Sample scan

45 / 100

Medium Risk · 8 trackers · pre-consent tracking: yes

See sample report →

Esegui una scansione indipendente sul sito che stai sottoponendo a verifica

Avvia una scansione gratuita o visualizza un rapporto di esempio per vedere come appare una cattura esterna insieme alla dashboard di Cookiebot .

Domande frequenti

Per un singolo sito di piccole dimensioni senza GTM , senza pixel di marketing e in una sola lingua, sì: un'installazione di Cookiebot correttamente configurata soddisfa i requisiti relativi all'interfaccia utente per il consenso e alla conservazione dei dati. Per le agenzie, i siti multilingue o chiunque utilizzi un contenitore GTM , un CMP da solo è l'inizio di un percorso di conformità, non la sua conclusione. Una verifica indipendente rileva il divario tra "configurato" e "funzionante nelle sessioni reali".

Quanto è accurato lo scanner di Cookiebot?

Lo scanner di Cookiebot è tecnicamente all'altezza: cadenza mensile, database approfondito dei tracker, ampio rilevamento di cookie, script, iframe e pixel se configurato correttamente. I suoi limiti sono strutturali piuttosto che tecnici: come ogni scansione automatizzata segue un percorso di scansione delimitato e una finestra di osservazione, quindi tag o elementi incorporati basati sul comportamento degli utenti reali potrebbero non essere rilevati da ogni percorso di crawler. Le auto-scansioni sono un inventario utile, ma non costituiscono una prova tecnica indipendente.

Qual è la differenza tra Cookiebot e Cookiebot CMP di Usercentrics?

Cookiebot è stato originariamente sviluppato da Cybot ed è entrato a far parte di Usercentrics attraverso la fusione del 2021 tra Usercentrics e Cybot . Il prodotto è ora commercializzato come Cookiebot CMP by Usercentrics . I livelli di prezzo che citiamo qui sono quelli della versione standalone Cookiebot ;Usercentrics Advanced è lo SKU enterprise di fascia alta, venduto su preventivo.

Perché la dashboard di Cookiebot può apparire pulita mentre un audit dell'agenzia rileva ancora tracker pre-consenso?

Di solito si tratta di una delle due cose: lo script Cookiebot si carica dopo una risorsa di impostazione dei cookie, oppure i tag GTM non sono sensibili al consenso. La guida alla risoluzione dei problemi di Cookiebot indica entrambi i modelli: lo script Cookiebot dovrebbe caricarsi prima delle risorse di impostazione dei cookie, e i tag GTM necessitano di trigger di consenso o di un'API sensibile al consenso. Una traccia di rete degli utenti reali li fa emergere laddove una dashboard di auto-scansione potrebbe non farlo.

Ho bisogno di una scansione indipendente se pago già per Cookiebot Premium?

Dipende dallo scopo della scansione. Se la scansione serve per la tua igiene operativa, la dashboard di Cookiebot è sufficiente. Se devi produrre prove di audit per una presentazione a un cliente, un questionario di appalto o una risposta a una richiesta di informazioni da parte di un'autorità di regolamentazione, un pacchetto di prove tecniche indipendenti è lo strumento che fa al caso tuo. La dashboard è la cabina di pilotaggio; la scansione è il registratore di volo.

Esegui una scansione di verifica gratuita con Cookiebot

Prima di redigere un piano di correzione, verifica cosa rileva un'analisi indipendente sul sito che stai sottoponendo a audit. La scansione gratuita di GDPR Privacy Monitor fornisce un'analisi a livello di rete di ciò che si attiva prima del consenso, di ciò che sopravvive al rifiuto e di ciò che dice la dichiarazione sui cookie rispetto a ciò che fa la rete. Non è richiesto alcun account per la prima scansione.

Avvia una scansione gratuita o visualizza un rapporto di esempio per vedere il formato prima di procedere.

Contesto: Spiegazione del tracciamento pre-consenso

Prezzi e caratteristiche verificati il 06/05/2026 rispetto a cookiebot.com/en/pricing. La pagina dei prezzi di Cookiebot è quella di riferimento in caso di variazioni delle cifre. Imposta un promemoria trimestrale per ricontrollare.