Gravità: AltaResponsabile: Admin CMPTempo di correzione: 1-2 h
Cookie e tracker prima del consenso
Correggi script di analytics, marketing e terze parti che si attivano prima che il visitatore abbia fatto una scelta sul consenso.
Copre: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Gravità: AltaResponsabile: Admin CMPTempo di correzione: 30-90 min
Banner di consenso assente
Ripristina o distribuisci un banner di consenso di primo livello prima che inizi qualsiasi tracking o storage opzionale.
Copre: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Gravità: AltaResponsabile: Admin CMPTempo di correzione: 15-60 min
Nessuna opzione di rifiuto o rifiuto nascosto
Rendi il rifiuto semplice e visibile quanto l'accettazione correggendo azioni Reject mancanti, nascoste o indebolite.
Copre: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Gravità: AltaResponsabile: SviluppoTempo di correzione: 1-2 h
Cookie wall
Rimuovi i pattern che bloccano l'accesso ai contenuti finché il visitatore non accetta il tracking opzionale.
Copre: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Gravità: MediaResponsabile: MarketingTempo di correzione: 30-120 min
Cookie non classificati
Classifica i cookie sconosciuti, documentane la finalità e smetti di spedire in produzione storage non dichiarato.
Copre: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Gravità: AltaResponsabile: Admin CMPTempo di correzione: 1-2 h
Incoerenza di Google Consent Mode
Correggi i casi in cui i tag Google si comportano come se il consenso fosse concesso anche se lo stato runtime indica denied.
Copre: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Gravità: AltaResponsabile: SviluppoTempo di correzione: 1-3 h
Richieste di terze parti prima del consenso
Impedisci ai fornitori opzionali di effettuare chiamate di rete prima che il visitatore abbia deciso se autorizzarli.
Copre: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Gravità: MediaResponsabile: SviluppoTempo di correzione: 30-90 min
Google Fonts prima del consenso o caricamento esterno dei font
Ospita i font localmente e rimuovi le chiamate remote che espongono richieste prima dell'opt-in.
Copre: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Gravità: MediaResponsabile: SviluppoTempo di correzione: 30-120 min
Cookie di tracking insicuri (problemi Secure o SameSite)
Rafforza gli attributi dei cookie affinché i cookie opzionali non vengano distribuiti con impostazioni di sicurezza deboli del browser.
Copre: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Gravità: AltaResponsabile: SviluppoTempo di correzione: 1-3 h
Fingerprinting prima del consenso
Rimanda o sostituisci gli script che analizzano le capacità del browser prima che il visitatore abbia preso una decisione sul consenso.
Copre: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Gravità: AltaResponsabile: Admin CMPTempo di correzione: 1-2 h
Google Consent Mode non rilevato
Implementa default e aggiornamenti di Consent Mode in modo che i tag Google ricevano uno stato di consenso esplicito invece di funzionare senza segnale.
Copre: consent_mode_not_detected, consent_mode_missing
- Conferma che i default di Consent Mode siano presenti al primo caricamento prima dei tag opzionali.
- Conferma che Reject mantenga denied gli stati storage di Google.
Gravità: AltaResponsabile: Admin CMPTempo di correzione: 30-90 min
Analytics prima del consenso
Impedisci che gli strumenti di analytics si carichino o scrivano storage prima che il visitatore abbia dato un consenso esplicito.
Copre: pre_consent_analytics_cookie, analytics_before_consent
- Conferma che nessuna richiesta analytics parta prima del consenso.
- Conferma che non vengano creati cookie analytics finché l'utente non accetta.
Gravità: AltaResponsabile: Admin CMPTempo di correzione: 30-90 min
Cookie di marketing prima del consenso
Blocca cookie e script pubblicitari o di retargeting finché l'utente non ha accettato esplicitamente il marketing.
Copre: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Conferma che non esistano cookie marketing prima del consenso.
- Conferma che non partano richieste verso reti pubblicitarie finché l'utente non accetta.
Gravità: AltaResponsabile: MarketingTempo di correzione: 30-60 min
Meta Pixel prima del consenso
Impedisci a Meta Pixel di caricarsi o inviare eventi finché il visitatore non ha concesso il consenso marketing richiesto.
Copre: meta_pixel_before_consent, pre_consent_meta_pixel
- Conferma che non vengano emesse richieste Meta prima del consenso.
- Conferma che i cookie Meta restino assenti in stato denied.
Gravità: AltaResponsabile: Admin CMPTempo di correzione: 30-60 min
GA4 prima del consenso
Ritarda Google Analytics 4 finché non esiste un consenso analytics valido e verifica che i parametri di Consent Mode restino coerenti.
Copre: ga4_before_consent, pre_consent_ga4
- Conferma che nessuna chiamata GA4 parta prima del consenso analytics.
- Conferma che i cookie `_ga` restino assenti prima dell'opt-in.
Gravità: AltaResponsabile: SviluppoTempo di correzione: 1-2 h
Tag GTM che si attivano prima del consenso
Correggi i trigger di GTM in modo che i tag opzionali non eseguano nulla finché non esiste il consenso richiesto.
Copre: gtm_tags_before_consent, pre_consent_gtm_fire
- Conferma in Preview che nessun tag GTM opzionale parta prima del consenso.
- Conferma che al primo caricamento rimangano attivi solo i tag essenziali.
Gravità: AltaResponsabile: Admin CMPTempo di correzione: 15-45 min
Reject solo nel secondo livello
Mostra Reject già nel primo livello invece di costringere l'utente ad aprire preferenze o fare clic extra per rifiutare il trattamento opzionale.
Copre: reject_in_second_layer, reject_not_first_layer
- Conferma che Reject sia presente nel primo livello su desktop e mobile.
- Conferma che un Reject dal primo livello blocchi i tag opzionali.
Gravità: AltaResponsabile: SviluppoTempo di correzione: 30-90 min
Il banner di consenso non appare su mobile
Correggi problemi di viewport, CSS e lazy-load che fanno sparire o impediscono il rendering del banner su mobile.
Copre: mobile_banner_missing, consent_banner_mobile
- Conferma che il banner appaia su un dispositivo mobile reale.
- Conferma che l'utente possa usare Accept e Reject su mobile.
Gravità: MediaResponsabile: SviluppoTempo di correzione: 30-90 min
Lo stato del consenso non viene persistito
Correggi storage e comportamento al reload affinché la scelta del visitatore venga ricordata e applicata tra pagine e sessioni.
Copre: consent_not_persisted, consent_state_lost
- Conferma che la stessa scelta persista dopo reload e navigazione cross-page.
- Conferma che Reject resti denied a una nuova visita.
Gravità: AltaResponsabile: SviluppoTempo di correzione: 1-2 h
Embed di terze parti prima del consenso
Ritarda YouTube, mappe, chat, prenotazioni e altri embed di terze parti finché il visitatore non ha consentito o scelto esplicitamente di caricarli.
Copre: pre_consent_embed, third_party_embed_before_consent
- Conferma che nessun fornitore embedded riceva richieste al primo caricamento.
- Conferma che l'embed si carichi solo dopo opt-in o click-to-load.
Gravità: AltaResponsabile: MarketingTempo di correzione: 15-45 min
Hotjar prima del consenso
Impedisci a Hotjar di caricare script di session replay o heatmap prima che il visitatore abbia concesso consenso analytics o marketing.
Copre: hotjar_before_consent, pre_consent_hotjar
- Conferma che Hotjar non si carichi prima del consenso.
- Conferma che i cookie Hotjar siano assenti in pre-consenso.
Gravità: MediaResponsabile: MarketingTempo di correzione: 30-120 min
Dichiarazione cookie non aggiornata
Allinea la dichiarazione cookie pubblicata con i cookie e i vendor realmente osservati nelle prove runtime.
Copre: cookie_declaration_outdated, declaration_mismatch
- Conferma che ogni cookie osservato compaia nella dichiarazione.
- Conferma che i vendor rimossi non siano più elencati se non girano più.
Gravità: AltaResponsabile: SviluppoTempo di correzione: 1-2 h
I cookie continuano a essere impostati dopo Reject
Correggi flussi in cui cookie o richieste opzionali continuano anche se il visitatore ha rifiutato esplicitamente il tracking.
Copre: cookies_after_reject, reject_not_enforced
- Reject e reload: conferma che i cookie opzionali restino assenti.
- Reject e reload: conferma che le richieste opzionali restino bloccate.
Gravità: MediaResponsabile: SviluppoTempo di correzione: 30-90 min
Banner di consenso bloccato da CSP
Aggiorna la Content Security Policy per consentire il caricamento di script CMP, stili o risorse iframe senza aprire inutilmente la sicurezza.
Copre: cmp_blocked_by_csp, consent_banner_csp_error
- Conferma che gli errori CSP legati agli asset CMP scompaiano.
- Conferma che il banner venga renderizzato normalmente e accetti input utente.
Gravità: AltaResponsabile: SviluppoTempo di correzione: 1-3 h
Problemi di consenso con GTM server-side
Allinea il routing GTM server-side e la propagazione del consenso in modo che il tagging lato server non aggiri lo stato di consenso del visitatore.
Copre: ssgtm_consent_issue, server_side_gtm_before_consent
- Conferma che nessun evento opzionale venga proxato a GTM server-side prima del consenso.
- Conferma che Accept attivi il flusso previsto e che Reject lo mantenga denied.