Guida alla verifica di CookieYes per le agenzie (2026)

TL;DR - CookieYes è uno dei CMP più diffusi nell'ecosistema WordPress, con un banner certificato Google, un piano gratuito generoso e supporto IAB TCF sui piani Pro e Ultimate. Un'autoscansione effettuata da qualsiasi CMP è un utile inventario operativo, ma non è equivalente alla prova indipendente prodotta da un verificatore esterno. Questa guida spiega come verificare nella pratica un'installazione di CookieYes - e quando l'autoscansione da sola è sufficiente.

Checklist di verifica CookieYes (versione sintetica)

Verificare se il caricatore GTM appare sopra lo snippet CookieYes: tale ordine significa che GTM vince la gara al primo rendering.
Verificare che lo stato predefinito di Consent Mode v2 sia denied per i quattro parametri: analytics_storage, ad_storage, ad_user_data e ad_personalization.
In un profilo browser pulito con gli strumenti di sviluppo aperti, acquisire ogni richiesta di terze parti che viene generata prima di qualsiasi clic sul banner.
Cliccare su Rifiuta tutto, ricaricare la pagina e catturare nuovamente la rete: dopo il rifiuto non dovrebbe apparire nulla di non essenziale.
Confrontare il comportamento della rete dopo il rifiuto con la dichiarazione dei cookie di CookieYes; una discrepanza tra i due è un difetto frequente.
Esportare un file .har con i timestamp come traccia di audit duratura: una prova più solida rispetto a uno screenshot della dashboard.

Di seguito è riportata la versione completa con gli elementi da verificare in ogni fase.

Cosa fa bene CookieYes

CookieYes ha una forte presenza su WordPress: è un CMP certificato Google, il suo plugin WordPress ha più di 1 milione di installazioni attive e l'azienda dichiara oltre 1,5 milioni di clienti business sulla piattaforma. Per un sito WordPress di qualunque dimensione, il plugin è a pochi clic da un banner funzionante, e l'integrazione con WordPress è una delle più approfondite della categoria (custom post type, plugin multilingua, page builder).

Il piano gratuito è insolitamente generoso. €0 / $0 / £0 al mese garantiscono 5.000 pageview mensili e 100 pagine scansionate su un dominio: sufficienti per un'installazione funzionante su un sito di piccole dimensioni senza dover mai pagare. Il piano a pagamento più basso (Basic, $10/mese in visualizzazione USD) porta questi limiti a 100.000 pageview mensili e 600 pagine scansionate. Google Consent Mode v2 è disponibile su tutti i piani, compreso il piano gratuito. Il piano Pro ($25/mese in visualizzazione USD) aggiunge IAB TCF, supporto del segnale GPC, geo-targeting e scansione mensile pianificata. Il piano Ultimate ($55/mese) elimina del tutto il limite di pageview.

Per un operatore la cui esigenza principale è "mostrare un banner chiaro su un sito WordPress, registrare il consenso e bloccare i tag più ovvi", CookieYes svolge il proprio compito, ed è un punto di forza concreto del prodotto. La domanda diventa più complessa al passo successivo: come si può sapere che funziona davvero nelle sessioni utente reali, soprattutto su siti che non sono WordPress?

Problemi comuni di implementazione di CookieYes che le autoscansioni possono non rilevare

Come ogni scansione automatizzata, una scansione di CookieYes segue un percorso di scansione delimitato e una finestra di osservazione. Lo script che si attiva quando il crawler visita il sito non è necessariamente lo stesso script che si attiva quando un utente reale arriva da un IP tedesco un martedì pomeriggio. Quattro pattern che riscontriamo ripetutamente sui siti protetti da CookieYes e che emergono negli audit con utenti reali:

1. Race condition tra tag manager e Consent Mode. Il problema con la frequenza più alta, comune a tutti i CMP sul mercato. Lo snippet Google Tag Manager è inserito inline sopra il caricatore CookieYes, quindi GTM si inizializza (e qualsiasi tag con consenso predefinito impostato su granted si attiva) prima che l'auto-blocker abbia la possibilità di intervenire. Oppure Consent Mode v2 è configurato con uno o più dei quattro parametri impostati di default su 'granted' invece di 'denied', producendo lo stesso risultato senza il problema di ordine di caricamento. La verifica è semplice: controllare l'ordine degli script, controllare i valori predefiniti del Consent Mode, quindi verificare la traccia di rete al primo caricamento.

2. Limiti di ambito del plugin WordPress. CookieYes può bloccare script e cookie non essenziali nei tipici flussi del plugin WordPress, ma le indicazioni dello stesso vendor segnalano che script o cookie creati al di fuori del controllo di CookieYes possono comunque richiedere una gestione manuale. Lo vediamo con maggiore frequenza con widget di marketing incollati direttamente nel file footer.php, con widget di chat installati seguendo le istruzioni "incolla questo snippet" e con form embedded che caricano i propri sistemi di analytics. È in questi casi che un audit a livello di browser aiuta: verifica la rete reale al primo caricamento, non solo la configurazione del plugin.

3. Le installazioni non WordPress non beneficiano delle comodità di integrazione del plugin WordPress. CookieYes funziona su qualunque sito in cui sia possibile inserire un tag script, e la dashboard SaaS tratta in modo identico Shopify, Wix, stack personalizzati e siti headless. L'auto-blocking dei cookie e il blocco degli iframe sono disponibili su tutti i piani, ma l'integrazione specifica con il tema WordPress, l'esperienza di amministrazione nativa e le comodità esclusive del plugin sono solo per WordPress. Su un sito Shopify o Next.js si ottengono il banner, l'archiviazione del consenso e l'auto-blocking, ma le implementazioni su stack personalizzati dovrebbero comunque essere verificate script per script, perché i tag incollati direttamente nei file del tema o iniettati da altre app possono restare al di fuori del percorso del consenso.

4. Script di marketing condizionali e attivati dal comportamento. Un registratore attivato dallo scroll, un widget di chat ritardato, un ramo di test A/B o un tag iniettato dinamicamente possono non essere esercitati da un percorso di crawler fisso. Trattateli come obiettivi di verifica manuale: riprodurre l'azione utente, rifiutare il consenso, ricaricare e verificare se il tag si attiva ancora.

Checklist di verifica passo per passo

Ogni passaggio è qualcosa che si può fare in un browser; uno scanner esterno abbrevia il lavoro manuale.

Aprire il sito in un profilo browser pulito, con gli strumenti di sviluppo aperti e il filtro di rete su "terze parti". Ricaricare. Tutto ciò che si attiva prima di cliccare un pulsante del banner è un candidato.
Controllare la posizione dello snippet GTM. Se il caricatore GTM è sopra il caricatore CookieYes nel sorgente della pagina, l'auto-blocker sta perdendo la gara con il tag manager. Su WordPress, verificare che l'opzione del plugin "carica prima degli altri script" sia abilitata.
Verificare lo stato predefinito di Consent Mode v2. Cercare nella pagina renderizzata gtag('consent', 'default'. L'argomento dovrebbe impostare tutti e quattro i parametri - analytics_storage, ad_storage, ad_user_data, ad_personalization - su 'denied'. Se uno di essi risulta 'granted', è quella la configurazione errata.
Cliccare rifiuta. Ricaricare. Controllare la stessa cattura di rete. Un'installazione di CookieYes configurata correttamente non dovrebbe mostrare alcun tracker di terze parti nella rete post-rifiuto. Se Meta Pixel, LinkedIn Insight o Google Analytics si attivano comunque dopo il rifiuto, lo stato di consenso non viene propagato.
Testare la persistenza del consenso tra le pagine. Cliccare rifiuta, navigare su una seconda pagina. Il banner non dovrebbe ricomparire. Se ricompare - il pattern consent_respawn - lo scope o la durata del cookie sono errati, indipendentemente da quanto riportato dalla dashboard.
Su WordPress, verificare le iniezioni del tema e del page builder. Cercare nei file header.php, footer.php e in qualunque blocco "HTML personalizzato" del page builder eventuali tag script hardcoded. Questi bypassano l'auto-blocking del plugin.
Cambiare la lingua della pagina passando a ciascuna lingua attiva. Verificare che la dichiarazione dei cookie sia tradotta e che i tracker elencati corrispondano alla scansione corrente, non a quella del trimestre scorso.
Testare da un IP non UE. Alcune configurazioni di CookieYes mostrano il banner solo ai visitatori UE tramite geo-targeting. Se servite utenti in Svizzera, Regno Unito o Brasile, verificare che il banner appaia come previsto.
Confrontare la cattura di rete con la dichiarazione di CookieYes. Ogni servizio non essenziale che imposta cookie o dominio di tracciamento che si attiva prima del consenso dovrebbe figurare, classificato, nella dichiarazione. La discrepanza tra il comportamento reale e i tracker dichiarati è un difetto frequente.
Salvare la cattura di rete come prova. Un file .har con i timestamp è una traccia di audit duratura: una prova più solida rispetto a uno screenshot della dashboard.

Quando CookieYes da solo è sufficiente

Non raccomandiamo di aggiungere un audit esterno a ogni installazione di CookieYes. Per il profilo seguente, lo scanner integrato di CookieYes è sufficiente e un secondo strumento è un costo aggiuntivo:

Un singolo sito WordPress, una o due lingue, un dominio.
Il plugin WordPress di CookieYes (non solo l'embed SaaS), in modo da ottenere l'auto-blocking e l'iniezione consapevole del tema.
Nessun Google Tag Manager oppure una semplice installazione di Google Analytics 4 tramite l'iniezione condizionata dal plugin.
Nessun obbligo di reportistica al cliente.
Nessun profilo a maggiore esposizione (basso traffico, contenuti B2C non sensibili, nessun reclamo pregresso).

Per questo profilo, il piano gratuito o Basic di CookieYes svolge il proprio compito e qualsiasi strumento aggiuntivo è una tassa. Il piano gratuito in particolare (5.000 pageview mensili, 100 pagine scansionate) è un punto d'ingresso operativo per molti piccoli siti reali.

Quando aggiungere un audit indipendente

Le ragioni per una verifica esterna crescono con tre fattori, e uno di questi è più marcato per gli utenti di CookieYes rispetto alla maggior parte dei CMP:

Portafoglio multi-CMS. È il discriminante più netto. Il plugin WordPress di CookieYes è particolarmente approfondito sul lato WordPress; su Shopify, Wix, Next.js personalizzato o commerce headless lo stesso prodotto viene eseguito senza l'integrazione specifica con il tema WordPress e senza l'esperienza di amministrazione nativa. Le agenzie che gestiscono un portafoglio di clienti su stack eterogenei traggono vantaggio da un livello di audit uniforme che non dipenda dal CMS in uso. Uno scanner esterno produce lo stesso pacchetto probatorio per il sito WordPress, lo storefront Shopify e la landing page su stack personalizzato.

Complessità dei tag di marketing. GTM, Meta Pixel, Google Ads conversion, LinkedIn Insight, TikTok Pixel, server-side tagging: ogni tag aggiuntivo moltiplica la superficie su cui un valore predefinito a granted può attivare tracker prima del consenso.

Profilo a maggiore esposizione. L'implementazione del consenso ai cookie è un tema ricorrente di scrutinio da parte delle DPA, quindi per gli operatori che attirerebbero l'attenzione del regolatore in caso di reclamo - editori ad alto traffico, media supportati dalla pubblicità, servizi finanziari, sanità - una traccia probatoria duratura, non-vendor, è materialmente diversa da uno screenshot della dashboard del fornitore.

Pacchetti probatori per il procurement. I clienti enterprise in settori regolamentati richiedono spesso prove tecniche indipendenti come parte del processo di onboarding fornitori. Un report di scansione esterna risponde a quella richiesta in un modo in cui uno screenshot della dashboard di CookieYes non può.

CookieYes vs. audit indipendente

Feature	CookieYes Free + paid tiers based on pageviews	GDPR Privacy Monitor Free + paid plans
Cookie scanner (self-scan)	✓	✕
Banner UI generator	✓	✕
WordPress plugin (1M+ installs)	✓	✕
Google-certified CMP	✓	✕
IAB TCF signaling	Pro tier+	✕
Geo-targeting	Pro tier+	✕
Free tier with real pageview budget	✓	Free + paid plans
Independent technical verification	✕	✓
Multi-CMS portfolio reports	✕	✓
Evidence pack for client deck / audit file	✕	✓

CookieYes e GDPR Privacy Monitor sono prodotti diversi che rispondono a esigenze diverse. CookieYes genera e gestisce l'esperienza utente del consenso, in modo particolarmente efficace su WordPress; GDPR Privacy Monitor verifica che il risultato si comporti correttamente sul campo, indipendentemente dal CMS sottostante.

Risk score: 43 / 100

Un'installazione pulita di CookieYes su un singolo sito WordPress dovrebbe normalmente collocarsi nella fascia di rischio basso. Un punteggio nei 40 indica tipicamente la presenza di un problema pratico: ad esempio, un tracker che si attiva prima del consenso, un problema di persistenza post-rifiuto o una configurazione del banner che richiede revisione.

Sample scan

45 / 100

Medium Risk · 8 trackers · pre-consent tracking: yes

See sample report →

Esegui una scansione indipendente sul sito che stai verificando

Avvia una scansione gratuita o visualizza un report di esempio per vedere come si presenta una cattura esterna affiancata alla dashboard di CookieYes.

Domande frequenti

Il piano gratuito di CookieYes è sufficiente per il mio piccolo sito WordPress?

Per un singolo piccolo sito WordPress sotto le 5.000 pageview mensili con una o due lingue, senza GTM, senza pixel di marketing oltre a Google Analytics 4 e senza obblighi di reportistica di agenzia, sì, il piano gratuito è effettivamente sufficiente. Il piano gratuito di CookieYes è uno dei più generosi sul mercato ed è un significativo punto d'ingresso operativo per i piccoli siti. Quando lo si supera, il piano Basic a pagamento ($10/mese in visualizzazione USD) porta il budget di pageview a 100.000.

Come si confronta CookieYes con Cookiebot?

Prodotti diversi con audience predefinite diverse. CookieYes è plugin-first ed è particolarmente forte su WordPress; Cookiebot è dashboard-first e altrettanto solido sulle integrazioni CMS. Entrambi sono Google-aware ed entrambi dispongono di scanner credibili. Cookiebot supporta IAB TCF sui piani a pagamento; CookieYes supporta IAB TCF sui piani Pro e Ultimate. Il piano gratuito di CookieYes è più generoso per i siti a basso traffico; il piano Premium Lite di Cookiebot costa 7 €/mese quando è selezionato EUR mentre il Basic di CookieYes costa $10/mese in visualizzazione USD, ma il prezzo di Cookiebot dipende dal numero di domini e di sottopagine, per cui l'uso multi-dominio in agenzia può superare rapidamente il piano d'ingresso. Scegliere in base allo stack principale: le agenzie WordPress-first tendono spesso a preferire CookieYes; le realtà multi-CMS e i team SaaS-first tendono spesso a preferire Cookiebot.

CookieYes è certificato Google. Significa che è conforme di default?

No, e la certificazione non lo afferma. La certificazione Google significa che l'integrazione di Consent Mode v2 del CMP soddisfa i requisiti di Google: non certifica che una specifica installazione rispetti le scelte di consenso dell'utente in sessioni reali. La certificazione è un segnale a livello di vendor; il vostro deployment specifico può comunque attivare tracker prima del consenso se il tag manager è mal configurato o se gli script bypassano l'ambito del plugin. La verifica indipendente intercetta il divario tra "il CMP è certificato" e "questa specifica installazione funziona".

CookieYes funziona al di fuori di WordPress?

Sì. La dashboard SaaS genera un tag script che si può inserire in qualsiasi pagina HTML, e l'archiviazione del consenso funziona allo stesso modo su Shopify, Wix, headless o stack personalizzati. La pagina dei prezzi di CookieYes elenca l'auto-blocking dei cookie e il blocco degli iframe come funzionalità disponibili su tutti i piani, anche fuori da WordPress. Ciò che è effettivamente esclusivo di WordPress è il livello del plugin WordPress: l'integrazione con il tema, l'esperienza di amministrazione nativa di WordPress e le comodità specifiche del plugin. Su siti Shopify o stack personalizzati si ottengono comunque il banner, l'archiviazione del consenso e l'auto-blocking, ma gli operatori dovrebbero comunque verificare il blocco script per script, perché i tag incollati nei file del tema o iniettati da altre app possono restare al di fuori del percorso del consenso. Le agenzie che gestiscono portafogli multi-CMS spesso abbinano CookieYes a un livello di audit indipendente per confermare che il comportamento reale corrisponda alla dashboard sui vari stack.

Perché CookieYes può apparire pulito mentre un audit di agenzia trova comunque tracker pre-consenso?

Solitamente perché un tag si trova al di fuori del percorso controllato dal plugin, GTM non è consapevole del consenso, oppure uno script si attiva prima che lo stato di consenso sia applicato. Una traccia browser reale intercetta questo divario. Una dashboard di autoscansione può non riprodurre tutte le race condition al primo caricamento o i percorsi attivati dall'utente, mentre una traccia di rete su browser pulito mostra ciò che effettivamente si attiva prima che l'utente interagisca con il banner.

Esegui una scansione di verifica gratuita di CookieYes

Prima di redigere un piano di remediation, guardate cosa mostra una cattura indipendente sul sito che state verificando. La scansione gratuita di GDPR Privacy Monitor restituisce una scomposizione a livello di rete di ciò che si attiva prima del consenso, di ciò che sopravvive al rifiuto e di ciò che la dichiarazione dei cookie afferma rispetto a quanto la rete effettivamente fa. Per la prima scansione non è richiesto alcun account.

Avvia una scansione gratuita o visualizza un report di esempio per vedere il formato prima di prendere un impegno.

Altre guide di verifica: Cookiebot · OneTrust · Iubenda · Complianz Approfondimenti: Tracciamento pre-consenso spiegato

Prezzi e caratteristiche dichiarate verificati il 06/05/2026 sulla pagina cookieyes.com/pricing. La pagina dei prezzi di CookieYes è canonica in caso di variazioni delle cifre. Impostare un promemoria trimestrale per riverificare.